Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un chercheur expose des failles du noyau de Linux
Pour l'améliorer, Red Hat et surtout la NSA verraient ses efforts d'un très mauvais oeil

Le , par Idelways

0PARTAGES

6  0 
Expert reconnu du Kernel, le chercheur Brad Spengler a présenté hier sa vision de la sécurité de Linux durant la conférence LinuxCon qui se déroule cette semaine à Boston.

Spengler y a par exemple parlé de « Enlightenment », un exploit de son cru qui permet - ni plus ni moins - de désactiver la politique de sécurité de Linux, y compris SELinux et AppArmor.

« Enlightenment » qui prouve, selon lui, que les contrôles d'accès ne sont pas la protection ultime, mais doivent plus être considérés comme une dernière ligne de défense.

Spengler affirme avoir codé 11 autres exploits du Kernel durant les dernières années. Des efforts qui ont aidé à rendre Linux plus sûr.

Il explique son acharnement à produire autant d'exploits par la passivité des entreprises qui développent Linux, à commencer par Red Hat qui n'a réagi à aucun de ses 7 premiers exploits qui menaçaient la sécurité des utilisateurs de Red Hat Entreprise Linux.

Ce n'est qu'au bout du huitième que l'entreprise aurait finalement réagi en corrigeant toutes les failles. Pour lui, seules les failles rendues publiques semblent pouvoir produire un changement dans la perception de la sécurité (lire par ailleurs : Google veut réinventer les règles de divulgation des failles)

Si l'on se doute que Red Hat ne sera pas ravi par ces affirmations, d'autres sont aussi passablement énervés par les travaux de Spengler. La NSA (Agence de Sécurité Nationale), qui a participé au développement de SELinux, voit ses efforts d'un très mauvais œil.

Elle aurait même réagi en contactant, non pas le chercheur, mais son employeur afin de nuire à sa carrière.

Mais pour lui la fin justifie les moyens et SELinux serait à présent un bien meilleur produit.

Spengler présente aussi un ensemble de pistes pour améliorer la sécurité de Linux.

Il suggère en premier lieu l'usage de la « randomisation de l'espace d'adressage » (ASLR), une technique d'adressage aléatoire des objets partagés dans la mémoire. Cette technique pourrait compliquer les attaques qui exploitent les adressages mémoires écrits en dur.

Il propose également de retirer du noyau ce qu'il appelle des « infoleaks » (fuites d'informations) comme que la fonction « slabinfo » qui rapporte la taille des blocks de mémoire et peut être potentiellement utilisée par les pirates.

D'autres éléments du Kernel mériteraient également d'être mieux sécurisés, comme « syscall », la table des appels système qui doit être selon lui passée en lecture-seule.

Mais selon Spengler, la sécurité ne concerne pas que les développeurs. Des mesures prises par les administrateurs et les utilisateurs peuvent aussi mener à des systèmes plus sûrs.

Pour mémoire, Brad Spengler est l'expert en sécurité à l'origine du projet « grsecurity », un patch permettant d'ajouter des fonctionnalités de sécurité au noyau Linux.

Source : Site de LinuxCon

Lire aussi :

Kernel 2.6.35 : amélioration de la gestion du multi-coeur et des performances réseaux, Google contribue activement au noyau de l'OS

Google veut réinventer les règles de divulgation des failles, et publie un guide de bonne conduite pour mettre la pression sur les éditeurs : Microsoft visé ?

Windows : nouvelle faille mineure dans le noyau, Travis Ormandy de Google l'utilise tout de même pour critiquer Microsoft

La sécurité d'Android remise en question, au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission

Les rubriques (actu, forums, tutos) de Développez :

Linux Professionnel
Sécurité
Systèmes

Et vous ?

Quelles sont les mesures que vous recommandez pour augmenter la sécurité de Linux ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Marco46
Modérateur https://www.developpez.com
Le 11/08/2010 à 17:12
Citation Envoyé par GanYoshi Voir le message
Quand tu veux et à tout le monde, sinon ils se bougent pas le cul, que ça soit M$, Apple ou les sociétés supportant linux.
+1

Une société est une société. Qu'elle produise du libre n'y change rien.

Laisser quand même le temps de corriger c'est quand même mieux mais publier s'il y a une mauvaise volonté manifeste.
5  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 12/08/2010 à 8:46
Sinon quand il y a une faille dans le noyau linux, généralement elle est corrigé dans le mois ou même dans la semaine contrairement a windows ou il faut des-fois attendre des années.
Vu le nombre de correctifs que Microsoft sort chaque mois pour ses OS, je ne sais pas s'il y a beaucoup de failles connues et non corrigées depuis des années dans Windows. Ou alors c'est parce qu'elles ne peuvent pas l'être.
Il ne faut pas tout mélanger. Une faille peut exister depuis des années, mais si elle n'a été découverte que la semaine dernière, il aurait été difficile de la corriger, il y a 2 ans
4  0 
Avatar de alexrtz
Membre expérimenté https://www.developpez.com
Le 12/08/2010 à 9:31
Citation Envoyé par stardeath Voir le message
ôtez moi d'un doute, ceux sont des failles du noyau linux ou pas?
C'est ce que semble indiquer l'article.

Citation Envoyé par stardeath Voir le message
parce que si c'est le noyau, je vois pas en quoi red hat pourrait y faire quelque chose
Red Hat contribue au noyau, il est donc possible que les bugs viennent des ces contributions.
Quand on veut qu'un bug soit corrigé, on s'adresse en général au(x) développeur(s) qui a (ont) écrit le code impacté.

Citation Envoyé par stardeath Voir le message
linus torwald
Linus Torvalds

Sinon complètement d'accord avec le principe de divulgation des failles : il n'y a que comme ça que certaines sociétés vont se bouger les fesses (avec le délai de prévenance kivabien pour leur laisser le temps de montrer leur bonne volonté pour corriger le bazar).
2  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 20/08/2010 à 9:01
Le fait qu'une faille éxiste et soit connu n'est pas un problème : tant qu'elle n'est pas exploité, le danger n'est que potentiel.
C'est pour ça que tu laisse ta maison grande ouverte quand tu t'absente. De toute façon tant qu'il n'y a pas de voleur qui circule dans le quartier, le danger n'est que potentiel
2  0 
Avatar de koala01
Expert éminent sénior https://www.developpez.com
Le 20/08/2010 à 13:08
Citation Envoyé par bioinfornatics Voir le message
si un voleur veut venir chez toi c'est pas une porte qui va l'arrêter
Non, mais cela va le ralentir, on espère, suffisamment pour que quelqu'un puisse réagir et "lui faire peur".

On en arrive donc dans une situation dans laquelle même un risque jugé seulement "potentiel" suffit à te faire prendre des mesures en vue de le restreindre encore d'avantage.

Le gain de sécurité apporté est, peut être négligeable à l'échelle des autres risques, mais c'est la globalité des petites mesures qui augmentent de manière significative la sécurité globale ("ce sont les petits ruisseaux qui font les grands fleuves" )
2  0 
Avatar de Tetem
Membre du Club https://www.developpez.com
Le 11/08/2010 à 16:02
Déja, un bon administrateur qui connait bien son boulot et le système qu'il administre, ce serai déja une révolution en termes de sécurité pour les entreprises !
1  0 
Avatar de SYL666
Membre averti https://www.developpez.com
Le 11/08/2010 à 22:20
D'un coté, je suis très d'accord avec lui ... il suffit de voir que coté Microsoft, l'ASLR est présent depuis pas mal de temps. Linux est assez à la traine. Un coup de pied dans la fourmilière est parfois nécessaire pour en refaire les fondations.

Mais d'un autre coté, il faut aussi prendre en compte le nombre de serveur qui tournent sur le Net dont les admins ne cherchent pas vraiment à protéger via des patchs.

Le problème, je pense, c'est justement qu'il y a une fausse idée sur laquelle Linux serait plus sécurisé que Windows. Alors il n'y a pas à s'en faire.
Pourtant, cette affirmation est bien entendu ridicule.
1  0 
Avatar de OphayLili
Nouveau membre du Club https://www.developpez.com
Le 16/08/2010 à 1:12
Publier les failles de sécurité lorsque les sociétés ne réagissent pas ...

J'aimerais proposer une piste de réflexion sur cette pratique.

Pourquoi certains chercheurs cherchent-ils des failles de sécurité sur différent système ?

-> Pour rendre le système plus sur au yeux de l'utilisateur.

Qui est le premier concerné par la sécurité ?

-> L'utilisateur ( particulier, entreprises, administration etc ... ). Ils représentent surement plus de 99% des utilisateurs d'un système / logiciel.

Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?

-> L'utilisateur.

Maintenant, ma question est la suivante :

Un exploit, comme son nom l'indique, est un exploit, ce qui veut dire qu'un expert en sécurité informatique, à du travailler des journées entière sur ce genre de faille, pour, souvent, être le premier à les découvrir. Publier au grand public ( malveillant, et autres experts ) n'est-il pas le meilleur moyen de justement, rendre dangereuse une faille qui aurait peut être mis plusieurs mois a être découvertes par des pirates, plutôt que de le divulguer uniquement aux société éditrice. Je ne critique en rien le comportement de ces braves hommes, mais, en faisant ça, ils mettent en jeu la sécurité de l'utilisateur ...

Mais ...

Reprenons mes questions de base :

Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?

A méditer.
2  1 
Avatar de SYL666
Membre averti https://www.developpez.com
Le 16/08/2010 à 9:22
Citation Envoyé par OphayLili Voir le message
Un exploit, comme son nom l'indique, est un exploit, ce qui veut dire qu'un expert en sécurité informatique, à du travailler des journées entière sur ce genre de faille, pour, souvent, être le premier à les découvrir. Publier au grand public ( malveillant, et autres experts ) n'est-il pas le meilleur moyen de justement, rendre dangereuse une faille qui aurait peut-être mis plusieurs mois a être découverte par des pirates, plutôt que de le divulguer uniquement aux sociétés éditrices. Je ne critique en rien le comportement de ces braves hommes, mais, en faisant ça, il mettent en jeu la sécurité de l'utilisateur ...
En fait, ce qui se passe, à mon avis, comme pour le gros problème sur le protocole DNS l'année dernière par exemple, c'est que le chercheur confie sa trouvaille aux éditeurs, et probablement les 2 parties essaient de trouver une solution.

Maintenant, le problème est que souvent, probablement par fainéantise, ou par manque de ressource, les éditeurs préfèrent ignorer la faille tant que celle ci n'est pas exploitée. Donc un ultimatum sur la publication est le seul moyen de secouer un peu les éditeurs.

Et bien entendu, il ne faut pas oublier le moment de gloire lors de la publication de la faille. Ca fait bien sur un CV de sécurité on va dire.
1  0 
Avatar de koala01
Expert éminent sénior https://www.developpez.com
Le 18/08/2010 à 10:59
Citation Envoyé par dams78 Voir le message
Je pense que tout dépend du contexte, pourquoi une entreprise irai perdre de l'argent à colmater une faille? Si cette faille est rendue publique ou très utilisée cela va entacher son image de marque donc là effectivement elle va pouvoir débloquer des ressources, mais sinon quel bénéfice elle va en tirer?
La confiance du consommateur

Si microsoft a le quasi monopole sur PC, certains peuvent croire (je n'exprimerai pas mon opinion personnel à ce sujet) que c'est uniquement... parce qu'il a su "surfer sur une vague" il y a plus de vingt ans, et sans doute pris quelques accords qui seraient aujourd'hui dénoncés publiquement.

Mais l'utilisateur averti n'a pas forcément confiance en l'outil et subit peut être cette situation de monopole et de battage médiatique car la décision de l'OS ne dépend pas de lui
1  0