Developpez.com

Le Club des Développeurs et IT Pro

Un chercheur expose des failles du noyau de Linux

Pour l'améliorer, Red Hat et surtout la NSA verraient ses efforts d'un très mauvais oeil

Le 2010-08-11 15:16:21, par Idelways, Expert éminent sénior
Expert reconnu du Kernel, le chercheur Brad Spengler a présenté hier sa vision de la sécurité de Linux durant la conférence LinuxCon qui se déroule cette semaine à Boston.

Spengler y a par exemple parlé de « Enlightenment », un exploit de son cru qui permet - ni plus ni moins - de désactiver la politique de sécurité de Linux, y compris SELinux et AppArmor.

« Enlightenment » qui prouve, selon lui, que les contrôles d'accès ne sont pas la protection ultime, mais doivent plus être considérés comme une dernière ligne de défense.

Spengler affirme avoir codé 11 autres exploits du Kernel durant les dernières années. Des efforts qui ont aidé à rendre Linux plus sûr.

Il explique son acharnement à produire autant d'exploits par la passivité des entreprises qui développent Linux, à commencer par Red Hat qui n'a réagi à aucun de ses 7 premiers exploits qui menaçaient la sécurité des utilisateurs de Red Hat Entreprise Linux.

Ce n'est qu'au bout du huitième que l'entreprise aurait finalement réagi en corrigeant toutes les failles. Pour lui, seules les failles rendues publiques semblent pouvoir produire un changement dans la perception de la sécurité (lire par ailleurs : Google veut réinventer les règles de divulgation des failles)

Si l'on se doute que Red Hat ne sera pas ravi par ces affirmations, d'autres sont aussi passablement énervés par les travaux de Spengler. La NSA (Agence de Sécurité Nationale), qui a participé au développement de SELinux, voit ses efforts d'un très mauvais œil.

Elle aurait même réagi en contactant, non pas le chercheur, mais son employeur afin de nuire à sa carrière.

Mais pour lui la fin justifie les moyens et SELinux serait à présent un bien meilleur produit.

Spengler présente aussi un ensemble de pistes pour améliorer la sécurité de Linux.

Il suggère en premier lieu l'usage de la « randomisation de l'espace d'adressage » (ASLR), une technique d'adressage aléatoire des objets partagés dans la mémoire. Cette technique pourrait compliquer les attaques qui exploitent les adressages mémoires écrits en dur.

Il propose également de retirer du noyau ce qu'il appelle des « infoleaks » (fuites d'informations) comme que la fonction « slabinfo » qui rapporte la taille des blocks de mémoire et peut être potentiellement utilisée par les pirates.

D'autres éléments du Kernel mériteraient également d'être mieux sécurisés, comme « syscall », la table des appels système qui doit être selon lui passée en lecture-seule.

Mais selon Spengler, la sécurité ne concerne pas que les développeurs. Des mesures prises par les administrateurs et les utilisateurs peuvent aussi mener à des systèmes plus sûrs.

Pour mémoire, Brad Spengler est l'expert en sécurité à l'origine du projet « grsecurity », un patch permettant d'ajouter des fonctionnalités de sécurité au noyau Linux.

Source : Site de LinuxCon

Lire aussi :

Kernel 2.6.35 : amélioration de la gestion du multi-coeur et des performances réseaux, Google contribue activement au noyau de l'OS

Google veut réinventer les règles de divulgation des failles, et publie un guide de bonne conduite pour mettre la pression sur les éditeurs : Microsoft visé ?

Windows : nouvelle faille mineure dans le noyau, Travis Ormandy de Google l'utilise tout de même pour critiquer Microsoft

La sécurité d'Android remise en question, au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission

Les rubriques (actu, forums, tutos) de Développez :

Linux Professionnel
Sécurité
Systèmes

Et vous ?

Quelles sont les mesures que vous recommandez pour augmenter la sécurité de Linux ?

En collaboration avec Gordon Fowler
  Discussion forum
49 commentaires
  • Marco46
    Expert éminent sénior
    Envoyé par GanYoshi
    Quand tu veux et à tout le monde, sinon ils se bougent pas le cul, que ça soit M$, Apple ou les sociétés supportant linux.
    +1

    Une société est une société. Qu'elle produise du libre n'y change rien.

    Laisser quand même le temps de corriger c'est quand même mieux mais publier s'il y a une mauvaise volonté manifeste.
    le 11/08/2010 à 17:12
  • sevyc64
    Modérateur
    Sinon quand il y a une faille dans le noyau linux, généralement elle est corrigé dans le mois ou même dans la semaine contrairement a windows ou il faut des-fois attendre des années.
    Vu le nombre de correctifs que Microsoft sort chaque mois pour ses OS, je ne sais pas s'il y a beaucoup de failles connues et non corrigées depuis des années dans Windows. Ou alors c'est parce qu'elles ne peuvent pas l'être.
    Il ne faut pas tout mélanger. Une faille peut exister depuis des années, mais si elle n'a été découverte que la semaine dernière, il aurait été difficile de la corriger, il y a 2 ans
    le 12/08/2010 à 8:46
  • alexrtz
    Membre expérimenté
    Envoyé par stardeath
    ôtez moi d'un doute, ceux sont des failles du noyau linux ou pas?
    C'est ce que semble indiquer l'article.

    Envoyé par stardeath
    parce que si c'est le noyau, je vois pas en quoi red hat pourrait y faire quelque chose
    Red Hat contribue au noyau, il est donc possible que les bugs viennent des ces contributions.
    Quand on veut qu'un bug soit corrigé, on s'adresse en général au(x) développeur(s) qui a (ont) écrit le code impacté.

    Envoyé par stardeath
    linus torwald
    Linus Torvalds

    Sinon complètement d'accord avec le principe de divulgation des failles : il n'y a que comme ça que certaines sociétés vont se bouger les fesses (avec le délai de prévenance kivabien pour leur laisser le temps de montrer leur bonne volonté pour corriger le bazar).
    le 12/08/2010 à 9:31
  • sevyc64
    Modérateur
    Le fait qu'une faille éxiste et soit connu n'est pas un problème : tant qu'elle n'est pas exploité, le danger n'est que potentiel.
    C'est pour ça que tu laisse ta maison grande ouverte quand tu t'absente. De toute façon tant qu'il n'y a pas de voleur qui circule dans le quartier, le danger n'est que potentiel
    le 20/08/2010 à 9:01
  • koala01
    Expert éminent sénior
    Envoyé par bioinfornatics
    si un voleur veut venir chez toi c'est pas une porte qui va l'arrêter
    Non, mais cela va le ralentir, on espère, suffisamment pour que quelqu'un puisse réagir et "lui faire peur".

    On en arrive donc dans une situation dans laquelle même un risque jugé seulement "potentiel" suffit à te faire prendre des mesures en vue de le restreindre encore d'avantage.

    Le gain de sécurité apporté est, peut être négligeable à l'échelle des autres risques, mais c'est la globalité des petites mesures qui augmentent de manière significative la sécurité globale ("ce sont les petits ruisseaux qui font les grands fleuves" )
    le 20/08/2010 à 13:08
  • Tetem
    Membre du Club
    Déja, un bon administrateur qui connait bien son boulot et le système qu'il administre, ce serai déja une révolution en termes de sécurité pour les entreprises !
    le 11/08/2010 à 16:02
  • SYL666
    Membre averti
    D'un coté, je suis très d'accord avec lui ... il suffit de voir que coté Microsoft, l'ASLR est présent depuis pas mal de temps. Linux est assez à la traine. Un coup de pied dans la fourmilière est parfois nécessaire pour en refaire les fondations.

    Mais d'un autre coté, il faut aussi prendre en compte le nombre de serveur qui tournent sur le Net dont les admins ne cherchent pas vraiment à protéger via des patchs.

    Le problème, je pense, c'est justement qu'il y a une fausse idée sur laquelle Linux serait plus sécurisé que Windows. Alors il n'y a pas à s'en faire.
    Pourtant, cette affirmation est bien entendu ridicule.
    le 11/08/2010 à 22:20
  • OphayLili
    Nouveau membre du Club
    Publier les failles de sécurité lorsque les sociétés ne réagissent pas ...

    J'aimerais proposer une piste de réflexion sur cette pratique.

    Pourquoi certains chercheurs cherchent-ils des failles de sécurité sur différent système ?

    -> Pour rendre le système plus sur au yeux de l'utilisateur.

    Qui est le premier concerné par la sécurité ?

    -> L'utilisateur ( particulier, entreprises, administration etc ... ). Ils représentent surement plus de 99% des utilisateurs d'un système / logiciel.

    Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?

    -> L'utilisateur.

    Maintenant, ma question est la suivante :

    Un exploit, comme son nom l'indique, est un exploit, ce qui veut dire qu'un expert en sécurité informatique, à du travailler des journées entière sur ce genre de faille, pour, souvent, être le premier à les découvrir. Publier au grand public ( malveillant, et autres experts ) n'est-il pas le meilleur moyen de justement, rendre dangereuse une faille qui aurait peut être mis plusieurs mois a être découvertes par des pirates, plutôt que de le divulguer uniquement aux société éditrice. Je ne critique en rien le comportement de ces braves hommes, mais, en faisant ça, ils mettent en jeu la sécurité de l'utilisateur ...

    Mais ...

    Reprenons mes questions de base :

    Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?

    A méditer.
    le 16/08/2010 à 1:12
  • SYL666
    Membre averti
    Envoyé par OphayLili
    Un exploit, comme son nom l'indique, est un exploit, ce qui veut dire qu'un expert en sécurité informatique, à du travailler des journées entière sur ce genre de faille, pour, souvent, être le premier à les découvrir. Publier au grand public ( malveillant, et autres experts ) n'est-il pas le meilleur moyen de justement, rendre dangereuse une faille qui aurait peut-être mis plusieurs mois a être découverte par des pirates, plutôt que de le divulguer uniquement aux sociétés éditrices. Je ne critique en rien le comportement de ces braves hommes, mais, en faisant ça, il mettent en jeu la sécurité de l'utilisateur ...
    En fait, ce qui se passe, à mon avis, comme pour le gros problème sur le protocole DNS l'année dernière par exemple, c'est que le chercheur confie sa trouvaille aux éditeurs, et probablement les 2 parties essaient de trouver une solution.

    Maintenant, le problème est que souvent, probablement par fainéantise, ou par manque de ressource, les éditeurs préfèrent ignorer la faille tant que celle ci n'est pas exploitée. Donc un ultimatum sur la publication est le seul moyen de secouer un peu les éditeurs.

    Et bien entendu, il ne faut pas oublier le moment de gloire lors de la publication de la faille. Ca fait bien sur un CV de sécurité on va dire.
    le 16/08/2010 à 9:22
  • koala01
    Expert éminent sénior
    Envoyé par dams78
    Je pense que tout dépend du contexte, pourquoi une entreprise irai perdre de l'argent à colmater une faille? Si cette faille est rendue publique ou très utilisée cela va entacher son image de marque donc là effectivement elle va pouvoir débloquer des ressources, mais sinon quel bénéfice elle va en tirer?
    La confiance du consommateur

    Si microsoft a le quasi monopole sur PC, certains peuvent croire (je n'exprimerai pas mon opinion personnel à ce sujet) que c'est uniquement... parce qu'il a su "surfer sur une vague" il y a plus de vingt ans, et sans doute pris quelques accords qui seraient aujourd'hui dénoncés publiquement.

    Mais l'utilisateur averti n'a pas forcément confiance en l'outil et subit peut être cette situation de monopole et de battage médiatique car la décision de l'OS ne dépend pas de lui
    le 18/08/2010 à 10:59
  Poster une réponse