Un rapport interpellant sur les failles de sécurité de Vista

Bondjou to l’mond’ !

Je suis tombé sur ce rapport sur le nombre de failles trouvées durant les 90 premiers jours de Vista et d’autres OS. Vista s’en sort pas mal mieux qu’XP (jusque là tout va bien), et beaucoup mieux que les quatre autres (Mac OS X et des distributions Linux). C’est surprenant vu la réputation des Windows !
En lisant le rapport et les commentaires ça a l’air sérieux même si c’est fait par un type qui travaille chez Microsoft, mais j’aimerais bien avoir l’avis de personnes qui s’y connaissent. Est-ce que 90 jours, c’est assez pour commencer à tirer des conclusions ou ça ne veut rien dire ? Est-ce que les nombres avancés ont l’air réaliste ?
L’auteur a testé la Redhat avec le minimum de programmes pour ne pas biaiser les résultats. A votre avis c’est normal qu’elle montre quand même beaucoup plus de failles que les deux autres (Ubuntu et SUSE), qui ont été installées normalement apparement ?

Merci.

PS : merci de ne pas basculer sur un débat sur la sécurité de Windows / Linux / Mac OS, le but c’est de parler de la pertinence du rapport. B)

Depuis quand XP et plus secure qu'un Ubuntu ou un Tiger ? C'est pas du troll mais un Xp sur un site de boule c'est la mort, alors que sur un mac ou un linux ca passe tranquile /me sort... Faudrait voir ce qu'il entend par faille de secu, pour moi un OS qui se fait dechirer quand on va sur un site, c'est une grosse faille de secu.

Aprés il y a peu etre encore plein de faille dans Vista mais on les a pas encore trouvé non ?
Un faille de securité qui est corigée 3 ans aprés la sortie il en parle pas du tout ?

Pour moi ca veut rien dire, parce que dans le concret ça n’a aucun rapport …
Les 90 jours ou c’est pas assez ou ce texte ne sert à rien…

Le graphique montre juste le nombre de failles mais dans le PDF il donne leurs sévérités. Par contre il ne cite pas ses sources. C’est pour ça que j’aurais bien aimé avoir l’avis de personnes qui auraient déjà travaillé sur ces nombres.
Peut-être que les OS moins utilisés sortent sans que tout soit corrigé pour gagner du temps alors que Microsoft est obligé de faire plus d’efforts… en tout cas on verra bien avec les prochaines rapports.

il est normal de trouver plus de faille sur les système unix. le code est libre.
après que vista soit plus securisé qu’xp dans ses début, il vaudrait mieux vu le prix de l’os et les années de dev.

sinon pour moi ce genre de rapport ne veut rien dire. surtout quand ca vient de $crosoft. on ne juge pas un os sur 3 mois.

EDIT: de plus il ne faut pas oublier que les virus/malwares et autre merdewares sont quasi inexistants sur les systèmes autres que ceux de ms.
Donc personnellement, je pense que globalement il y a plus de risque d’avoir des soucis de sécurité avec un windows (normal vu les parts de marcher), ce qui montre que ce rapport ne cherche qu’à montrer les bons cotés du dernier os de redmond en zappant les mauvais.

il y a eut :

et quelques minutes apres :

[quote=« avavrin, post:2, topic: 44469 »]
Depuis quand XP et plus secure qu’un Ubuntu ou un Tiger ?
C’est pas du troll mais un Xp sur un site de boule c’est la mort, alors que sur un mac ou un linux ca passe tranquile
/me sort…
Faudrait voir ce qu’il entend par faille de secu, pour moi un OS qui se fait dechirer quand on va sur un site, c’est une grosse faille de secu.
[/quote]
B) …

Surtout qu’un site de boule plein de malwares si tu as un IE patché ou un FF ça passe sans problèmes.

…

pourquoi vous me regardez comme ça?

agreed, no more troll please…j’ai mal a la tete du poker d’hier soir, je risquerais de faire un travail pas propre…

90 jours pour se faire une idée de la sécurité d’un OS ce n’est pas du tout pertinent (bien que de graves failles aient été trouvées sous Vista avant même sa sortie en version Entreprise -voir la faille Bluepill sur l’exécution de code en ring0 malgré la protection contre les drivers non signés…)
Vista n’est implenté dans aucune entreprise ou presque, les particuliers qui s’en servent ne savent pas forcément comment le configurer proprement.

De plus en plus de failles aujourd’hui profitent des logiciels web dit “2.0” et des nouvelles technologies (ajax, java, etc.), et que ce soit un windows, un linux ou autre, la faille ne vient pas de l’OS dans ces cas là.

Et pour ce qui est des failles selon les OS, je vous recommande les principaux sites sur le sujet (securityfocus, securiteam, milworm, les usenet bugtraq etc.) pour vous faire une idée de ce qui est secure et de ce qui ne l’est pas.
Pour être souvent dessus, je peux dire que des failles Vista il y en a très peu, par contre des buffer et autres dans les kernel linux, et les principales applis open-source(firefox et consorts), ça ne manque pas. J’ai d’ailleurs noté beaucoup moins de failles dans IE7 que dans Firefox (le principe de l’open source joue contre linux d’un point de vue sécurité du coup).

On ne peut pas tirer de conclusions sur la fiabilités de logiciels en regardant le nombre de failles trouvées 90 jours après leur sortie, car tout dépend du nombre de personnes qui cherchent les failles.
Et quand le code est libre, ça n’a plus rien avoir, étant donné que bien plus de programmeurs ont accès au code.

[quote=“gIaOu13, post:8, topic: 44469”]le principe de l’open source joue contre linux d’un point de vue sécurité du coup[/quote]Pas du tout, quand tu peux lire le code, tu trouves bien plus facilement les failles, donc à chaque nouvelle version d’un logiciel libre un max de failles sont découvertes rapidement par des programmeurs qui lisent le code, ce qui explique un grand nombre de failles déclarées rapidement pour des logiciels phares comme Firefox.

On ne juge pas la sécurité d’un logiciel au nombre de failles trouvées, et comparer ce nombre avec celui d’un logiciel au code fermé est tout simplement stupide.

Oui c’est vrai, mais ça donne également la possibilité à quelqu’un qui n’a que de simples connaissances de trouver des failles dans le source.

Oui c’est vrai aussi, mais il y a tout de même un grand rapport entre les deux… Ce n’est pas du hasard pur si on peut trouver des milliers de failles dans Windows Xp alors qu’il n’y en a eu qu’une sous OpenBSD, même si c’est évident que bien plus de hackers se sont attaqués à WinXP.

[quote]Oui c’est vrai aussi, mais il y a tout de même un grand rapport entre les deux… Ce n’est pas du hasard pur si on peut trouver des milliers de failles dans Windows Xp alors qu’il n’y en a eu qu’une sous OpenBSD, même si c’est évident que bien plus de hackers se sont attaqués à WinXP.[/quote]Même si j’ai mon idée là dessus, on ne peut pas vraiement prouver qu’OpenBSD est moins vulnérable qu’XP étant donné que ces systèmes n’ont rien avoir, aussi bien du point de vue de la méthode de développement, que de l’architecture.
La seule différence est qu’il n’y a pas de virus sous OpenBSD, et que peu de monde essaie de pirater des serveurs OpenBSD.

Pour moi un système sécurisé est un système qui a fait ses preuves en la matière, c’est tout. OpenBSD a une solide réputation d’OS sécurisé auprès des experts réseau. Je pense que c’est un détail bien plus pertinent que le nombre de failles découvertes dans les 3 premiers mois…

BokLM> c’est bien vrai, mais il faut reconnaitre que ça aide beaucoup d’avoir les sources! Un dead-listing permet les même résultats mais en bien plus de temps, c’est ce que je voulais dire en disant que quelqu’un sans réelles connaissances pouvait y arriver.
Quand à “la seule faille”, c’est plutôt deux en fait, cf le site http://www.openbsd.org/fr/

bluelambda> “aussi bien du point de vue de la méthode de développement, que de l’architecture.” et c’est justement pour ces différences qu’on peut dire qu’OpenBSD est plus sécurisé.
“qu’il n’y a pas de virus sous OpenBSD” hm j’en connais pourtant plusieurs des virus sous openBSD. Mais aucun moyen d’en faire des vers en tout cas avec openBSD basique, ensuite si des services tournent et sont sujets à des failles c’est autre chose.

Quoi qu’il en soit je suis bien d’accord sur le fait que l’étude est dénuée de sens, déjà parceque 90 jours c’est arbitraire et stupide, et parcequ’un WinXP bien administré sera toujours plus securisé qu’un openBSD mal administré…

Marf on revient toujours au gros mythe de “si on peut lire le source on trouve des failles (BIEN)” qui maintenant devient “ha bah ouai si on peut lire le code, on trouve des failles (MAL)”. Ca doit etre l’argument le plus bidon en faveur de, ou contre, l’open source jamais donne. (Enfin je dis ca… j’ai vu pire…). Les failles ca se voit pas comme ca, sauf les plus basique et les plus basiques les outils comme PREFIX/PREFAST par exemple les trouvent tres bien de maniere automatique. Les vrais review de code ca se fait avec une equipe specialisee, c’est un probleme d’ingenierie, de methode et d’organisation, et ca quel que soit le devel, open ou pas, ca peut se faire bien ou mal.

De toute facon pour le rapport tu t’attend a quoi? Si il est favorable a MS, c’est forcement que la methode n’a tellement aucun sens qu’elle est completement a revoir et qu’on ne peut absoluement rien en tirer B) Rien de rien… soyons serieux deux minutes!

hahahaha ! B)

en effet, si tu as bu hier soir, la balle dans le genou risquerait de se transformer en balle ailleurs, genre dans les parties… ou plus génant dans la carotide. bah oui, ca serait plus génant rapport au sang à nettoyer. slffuuitch ! … slffuuitch !

Doud

Edit : ce que j’aime bien avec ce type de thread Windows vs the world c’est que c’est TOUJOURS des querelles de clochers avec des toujours des fanatiques du Linux saimieux et XP saimal. c’est peut etre l’une des raisons pour lesquelles je suis pas trop pressé de tester un jour Linux sur ma machine.

B) non quand meme ca vaut la peinne au moins de tester… (meme qu’un peut si si)

la liste des failles de vista vs les autres 90 jours après leur sortie, est-ce que ca veut dire quelque chose ? bien sûr que non…
Pourquoi ?

Deja, comparer une redhat et un windows, j’ai du mal… prendre tous les bugs de la redhat, c’est un peu comme si tu prenais les bugs de nero, de firefox et de tous les logiciels que t’as installé dessus : y a forcément des bugs dedans, mais de là à les imputer à vista… D’accord, red-hat fourni les logiciels avec, mais c’est le principe de linux…

Ensuite, un vista qui sort, y a personne qui l’utilise dans les 90 jours (prix, appréhension, toussa)… alors qu’un linux, les logiciels qu’il y a dessus sont plus utilisés, donc on y recherche beaucoup plus de bugs, donc on en trouve plus…

Pour finir, comparer un bug dans vista qui, a priori (glop, corrige mon si je me gourre total), n’est destiné qu’à une utilisation bureautique avec un bug dans un des serveurs mail d’une redhat qui a beaucoup plus de cibles potentielles (enfin pas les mêmes), c’est un peu un non sens pour moi… encore heureux que vista ait pas de faille dans son serveur pop si il a pas de serveur pop intégré…

Bref, du troll géant à butter au lance flamme (dans les genoux si vous voulez…), et pas seulement pour cet article, mais aussi pour ceux qui diront “vista c’est de la merde, y a plein de bugs” en disant “freebsd y a eu qu’une faille”. Ici aussi, on compare deux choses différentes : un noyau (freeBSD) et un système complet (Vista) incluant, entre autres choses, un noyau…

Encore qqn qui critique mais qui n’a pas lu le rapport vu le message… B) c’est bien hein d’essaye de douter et tout, mais avant ca serait bien de le lire quand meme… La comparaison est un peu plus intelligente que ca… encore faut il la lire B)

Pour ce qui est de l’utilisation je crois qu’il y a un probleme de perception des parts de marche relatives linux vs windows et de combien de windows il se vend par semaine… en deux mois il y a deja plus de machines sous vista que sous linux dans le monde. Oui ca va vite… Par exemple si on remonte seulement 30 jours apres la sortie, debut fevrier vista etait a 1% de part de marche sachant que l’ensemble des OS non MS et non Apple est a 2% de PDM…

Ben ça va il y a eu des messages constructifs je trouve, même si ça a un peu dérivé.
Donc tout le monde est d’accord, on va attendre les prochains rapports pour avoir un point de vue plus global. B)

D’un autre côté, imaginez la taille des pincettes qu’il faut pour interpréter un rapport sur un sujet pareil écrit par une personne qui semble bosser pour la boîte dont l’un des produits se trouve sur ledit rapport…
Je trouve que ça ne vaut pas vraiment la peine de commencer à se tirer dans le genou pour ça.
De plus, je ne vois pas vraiment de raison d’être à ce genre d’étude. A la limite, tout ce que je voudrais savoir, c’est la rapidité avec laquelle les concepteurs réagissent lorsqu’une faille est trouvée. J’aimerais autant un OS qui sort avec quelques failles mais qui sont corrigées dans les quelques jours qui suivent leur découverte qu’un OS moins ‘vulnérable’ mais où il faudrait attendre 6 mois pour qu’une faille soit réglée.

Oui, ce serai déjà plus pertinent comme comparatif.