TOOLinux

Le journal du Libre

Linux plus sûr que Windows : Un mythe ou pas ? L’exemple des clés USB

vendredi 16 octobre 2009

Le titre est une référence à l’opération de FUD orchestrée par Microsoft auprès des commerciaux de Best Buy dont un des supports de formation indique “Linux is safer than Windows” : “Myth”.

Retour sur l’opération de FUD

Selon Wikipédia, le FUD est une “technique rhétorique utilisée notamment dans la vente, le marketing, les relations publiques et le discours politique” qui “consiste à tenter d’influencer la perception de son audience en disséminant des informations négatives, souvent vagues et inspirant la peur”.

Bref c’est un procédé malhonnête, plutôt du côté de la manipulation et du dénigrement caché. C’est tout simplement le contraire d’une argumentation basée sur des faits objectifs.

Microsoft est plutôt connu pour l’usage répété de ce procédé. On pensera notamment à la campagne publicitaire honteusement nommée Get The Facts. Sinon Tristan Nitot, responsable de Mozilla Europe, rapporte également un autre excellent exemple sur son blog.

Bref, pour en revenir à la campagne en question (liens en début d’article), c’est de la vraie désinformation. Elle contient pas mal de comparaisons malhonnêtes et comme indiquée précédemment, l’une de ces comparaisons laisse sous-entendre que le fait que Linux est plus sûr que Windows serait un mythe. Je reviendrais peut-être d’ailleurs dans un prochain article sur les faiblesse de l’argumentation de Microsoft sur les points choisis par Microsoft (qui sont en eux-même plus qu’insuffisants pour juger de la sûreté d’une machine).

Je pense sincèrement qu’un arrêt du FUD répétitif est une condition plus que nécessaire pour que Microsoft puisse être correctement accepté par la communauté du libre (problématique mentionnée sur un des articles du blog de Philippe Scoffoni).

Brancher une clé de façon sûre sous Microsoft Windows : débutants s’abstenir !

Comme je l’ai indiqué précédemment, la sécurité repose en grande partie sur la connaissance et la conscience des utilisateurs.

Quand un programme est lancé, cela doit soit se faire suite à une “demande” qui précède de la part de l’utilisateur, soit être le résultat prévisible d’une manipulation consciente de l’utilisateur exercée quelque temps auparavant. On conçoit ainsi que des “programmes” indispensables puissent automatiquement être lancés (discrètement ou non) s’ils font parti du système (l’utilisateur a a priori choisi d’utiliser le système, ce n’est pas anormal que l’écran de connexion ou le pare-feu soient lancés automatiquement) ou s’ils résultent d’un choix conscient de paramétrage (on peut par exemple décider de lancer automatiquement une application qui rappelle les rendez-vous).

Or, dans l’esprit d’un utilisateur d’un niveau moyen, brancher une clé USB ne veut certainement pas dire “je suis prêt à lancer le programme sur la clé, peut importe ce qu’il fait”. Souvent d’ailleurs un utilisateur veut pouvoir observer le contenu de la clé (documents, images, textes) sans exécuter le moindre programme.

Cependant, Windows a une très forte tendance à lancer sans le consentement de l’utilisateur tout programme présent sur la clé (que ce soit un utilitaire ou du code malveillant), pour peu que la clé contienne également un fichier spécial (”AUTORUN.INF”, fichier éventuellement caché) qui indique quel programme ouvrir.

Suivant les versions de Microsoft Windows il peut y avoir quelques différences mais dans tous les cas la manipulation pour supprimer totalement la menace est loin d’être une manipulation aisée (en fait il y a plusieurs types d’exécution automatique, se débarrasser de celle liée à la boîte de dialogue ne suffit pas).

Il vous faut en effet vous assurer que le fichier AUTORUN.INF ne sera pas utilisé qu’il soit situé sur une partie de la clé au format CD/DVD ou non (modifications dans le registre, pas pour les débutants) , renoncer à accéder à la clé à l’aide d’un double-clic, ne jamais utiliser l’option de type “Ouvrir le dossier de la clé” / “Ouvrir à l’aide de l’explorateur” car dans les dernières versions de Windows (Vista et peut être Seven) c’est un dialogue qui peut être contrefait (AUTORUN.INF configuré pour afficher la même icône et le même texte qui si c’était une ouverture “normale”), et être très prudent dès qu’un invité non initié s’approche de votre machine. Bref c’est pas la joie…

Pour ceux qui veulent un peu plus de détails, je conseillerais entre autre le numéro 45 du magazine MISC que j’ai survolé en kiosque. À compléter avec au moins trois pages différentes d’un guide du registre (ici celui sur pctools.com), trois autres lectures sur us-cert.gov, une sur cert.org et pleins d’autres lectures que j’oublie tellement l’autorun sous Windows semble avoir des points communs avec l’Hydre de Lerne

Mal au crâne, pensez GNU/Linux et ça s’arrange tout de suite…

Autorun sous GNU/Linux

Bon tout d’abord un rappel essentiel, LInux ce n’est qu’un noyau de système d’exploitation. Le comportement au final de votre machine dépend de tout ce qu’il y a autour, autrement dit ça dépend de votre distribution (Ubuntu, Fedora, etc.).

À une époque, la mode était de ne même pas proposer le montage de la clé : il fallait le faire manuellement pour accéder à son contenu. Quoiqu’on en dise question simplicité, je préfère ça à Windows… Enfin passons, les temps ont changés et c’est souvent bien plus simple.

La plupart des distributions vous proposent en effet une liste d’actions types lorsque vous branchez votre clé, ce qui est en soit utile. Et dans tous les cas que je connais, aucun programme de la clé n’est lancé par défaut sans un choix préalable de l’utilisateur.

Bref, sur cet exemple la sécurité élémentaire devient tout de suite plus simple…

Conclusion

En conclusion je suis plus que tenté de dire que la campagne de propagande de Microsoft, ce fut du grand n’importe quoi.

Tout d’abord, j’espère en avoir convaincu beaucoup que la sécurité élémentaire sous Windows n’est pas accessible à l’utilisateur type de niveau moyen. La gestion de l’exécution automatique sur les clés USB est bien entendu un point que Microsoft n’a pas eu idée de mentionner dans sa campagne de FUD auprès de Best Buy.

Mais si l’on veut on peut même aller plus loin : les arguments ciblés, déjà choisis arbitrairement par Microsoft, sont en plus à la fois un tissu de mensonge et de formulations trompeuses.

Peut-être que cela fera l’objet d’un nouvel article dans la série “Linux plus sûr que Windows : Un mythe ou pas ?”, mais au cas où que l’envie me manque, je vais évoquer de façon très brève la vérité sur un des points évoqués par Microsoft.

Il est évoqué en parlant de GNU/Linux : “There’s no guaranty that when security vulnerabilities are discovered, an update will be created. Users are on their own.”. Cela signifie que les utilisateurs n’ont aucune garantie de la création d’une mise à jour en cas de vulnérabilité.

Premièrement, et argument qui casse tout : c’est le cas avec Windows. Selon theregister.co.uk, il est connu depuis juillet qu’une faille dans une bibliothèque logicielle Microsoft rend caduque la protection apportée par https et SSL (en gros les pages sécurisés avec “un cadenas”) : les windowsiens utilisateurs d’Internet Explorer, Google Chrome et Safari sont touchés et auront du mal à reconnaître une vrai page d’un phishing bien élaboré. Selon l’article, en date du 5 octobre, la faille (pourtant critique) n’est toujours pas corrigée. Bref, après on se demande comment Microsoft peut parler de sécurité… Et ne pensez pas que les autres exemples manquent…

Au contraire parlons de GNU/Linux, cible de l’attaque de Microsoft : bien qu’il n’y ait aucune “garantie” de création d’une mise à jour, il est évident que dès qu’une vulnérabilité sera connue, une bonne quantité de personnes passionnées s’intéresseront à la création d’un patch (enfin ça a l’air pour l’instant d’être comme ça…). Et la force de la communauté me parait de ce côté là plus convaincante que le discours de Microsoft.

De plus, même si ce n’était pas le cas, vous pourriez embaucher quelqu’un pour bosser sur le problème (si vous ne savez pas le faire vous même) : bien sûr ça ne risque pas en pratique de concerner beaucoup de monde, mais vous pouvez le faire dans de bonnes conditions (contrairement à Windows), car GNU/Linux est un logiciel libre et opensource.

David Dallet


Adresse de l’original : http://www.daviddallet.com/weblog/posts/2009/10/15/linux-plus-sur-que-windows-tout-sauf-un-mythe-1-autorun-usb/
Article original écrit par David Dallet, sous licence libre CC-BY-SA France 2.0 (texte uniquement) – Pour copier cet article merci de conserver cette notice ainsi que le lien vers l’original. En cas de modification (ou de copie partielle), le lecteur doit être clairement informé.

Messages

  • Bonjour,
    Excellent article bien qu’un peu court.

    Puisque l’auteur prend l’exemple des clés USB, je vais aller encore plus loin.

    Pour démonter proprement une clé USB dans Windows, il faut faire trois manipulations et avoir de bons yeux.

    Pour démonter une clé usb sous la plupart des distributions linux (J’ai testé sous Mandriva, Fedora, debian, Ubuntu par exemple), il suffit d’une seule manipulation (clic droit/ démonter le volume !)

    Ce n’est qu’un exemple, mais en règle général, l’utilisation des distributions linux les plus répandues est plus simple pour un débutant que l’utilisation de Windows.

    Pour en revenir à la sécurité, je suis plein de bonne volonté, mais je n’arrive toujours pas à comprendre pourquoi il y a autant de virus sous Windows et pourquoi je n’en ai jamais vu l’ombre d’un seul sous Linux.
    Peut-être suis-je un peu obtus pour comprendre ce genre de chose !
    Lorsque l’on a un problème sous Linux, on essaie de le résoudre définitivement. Or sous windows, les virus existent depuis tellement longtemps que beaucoup de gens considèrent qu’il est normal d’avoir ce type de problème...
    Pour citer Roberto Di Cosmo (in Le hold-up planétaire), je dirais que grâce à Microsoft, la médiocrité est devenu un standard.

    On voit bien ici les ravages du matraquage marketing de Microsoft. Ils réussissent à persuader que parce que leur système est installé sur 90 % des machines il est le meilleur, ce qui n’est malheureusement pas un argument recevable, mais Monsieur toutlemonde n’en est pas forcément conscient.

    Il y aurait tant à dire...

    Bonne journée à toutes et à tous.

    Jonas.
    De Tahiti.

  • Bonjour,

    Avec l’arrivée de Seven, votre argumentation est caduque, Microsoft a pris en compte ce problème et à désactivé l’exécution automatique des clé usb (voir article lié)

    Cordialement

    Voir en ligne : article PC inpact

  • Bonjour,

    @Jonas : Oui, c’est vrai pour votre autre exemple mais cela ne concerne pas forcément la sécurité. Et en "contrepartie", par honnêteté je dois dire qu’il m’arrive de faire du "hdparm" pour qu’un disque externe ne tourne plus après que les volumes associés soient totalement démontés. Sinon, complètement d’accord sur ce que vaut le marketing Microsoft...

    @vinc92 : Malheureusement je ne vois pas votre lien (bug temporaire ou souci à la saisie ?). Ce que je peux vous affirmer en revanche, c’est qu’il y ait de fortes chances que vos dires soient (avec intermédiaires éventuels) le résultat de la communication Microsoft.

    Un test ne peut pas prouver qu’il n’y a pas d’autorun qui puisse être pris en compte (le contraire est prouvable). Le code source n’est pas accessible par tous. Donc, ce qu’il me semble le plus probable est que ça résulte soit de la communication de MS, soit de la déformation de celle-ci.

    Si, c’est le cas, pourquoi devrais-je avoir confiance ? En plus de l’impossibilité de voir les sources, l’historique de sécurité de MS est quand même désastreux (voir ma réponse au commentaire d’Armetiz sur mon blog). Et pour se limiter au cas précis de l’autorun, j’ai entendu dire que le problème était résolu sous Vista (alors que les virus n’avaient qu’à "spoofer" l’explorateur de fichier dans la liste des actions, et que ça se fait en quelques lignes ridicules dans l’AUTORUN.INF).

    Cordialement,

    David

  • De plus, une vérole telle que le Conficker utilise un problème de parsing des fichiers .inf au niveau de l’unicode pour éviter la détection par les antivirus (vécu), une vraie partie de plaisir.

    Voir en ligne : L’explication sur le blog de F-Secure

  • @David Dallet - 16 octobre 2009

    Bonjour David.
    Nous sommes d’accord sur l’essentiel.

    Cela dit j’essaie de toujours me placer du coté de l’utilisateur de base, c’est à dire celui qui n’a jamais compilé un noyau, qui ne sait même ce qu’est un compilateur ou un langage de programmation et qui, forcément, n’a jamais utilisé hdparm...

    L’utilisateur de base, lui, ne va jamais dans la console, alors que les administrateurs systèmes passent leur temps à travailler dans le shell.
    Personnellement, lorsque je veux renommer une série de fichiers, je fais une boucle for en console, c’est plus rapide que dans l’interface graphique... Question d’habitude.

    Le shell Unix (et Linux donc) offre des possibilités incomparables avec celles du pauvre "command.com" ou "cmd.exe" fourni sous windows.

    Mais ... l’utilisateur de base recherche la simplicité.

    Et pour l’utilisateur de base débutant, je demeure persuadé qu’apprendre l’informatique avec Linux est plus simple qu’avec Windows.

    J’ai un peu plus de 40 ans et j’ai expérimenté ce que je dis avec ma compagne du même âge, à un an près.

    Elle ne connaissait rien à l’informatique, alors que moi j’ai 20 ans de métier et une certaine expérience de la polyvalence...

    Je lui ai montré le fonctionnement de deux systèmes : Linux avec environnement KDE et Windows...

    Elle a trouvé que le premier était nettement plus logique que le second et elle l’a adopté pour une grosse majorité d’usages (bureautique, Internet, photo, vidéo) !
    Il n’y a que pour le téléphone qu’elle continue à utiliser windows, parfois.

    @vinc92
    C’est le week-end, pourtant, je vais éviter de trop me lâcher.
    Ce n’est pourtant pas l’envie qui m’en manque...
    Seven est encore loin d’être un système parfait. J’ai énormément de reproche à faire à Microsoft quant à la sécurité et les interfaces. Il leur reste encore beaucoup à faire.
    Cela dit, la famille Unix a 40 ans cette année...
    Microsoft n’a même pas encore l’âge de la maturité, donc il est normal qu’il ne soit pas encore tout à fait au point...
    Ce que je déplore par contre, c’est qu’un produit inachevé comme Windows ait pu prendre autant d’importance dans la vie des gens.

    Quand je disais : "

    Pour en revenir à la sécurité, je suis plein de bonne volonté, mais je n’arrive toujours pas à comprendre pourquoi il y a autant de virus sous Windows et pourquoi je n’en ai jamais vu l’ombre d’un seul sous Linux. Peut-être suis-je un peu obtus pour comprendre ce genre de chose ! "

    Il faut bien comprendre que c’est de l’ironie...

    Ce que je comprend c’est que la seule volonté de MS est de faire du fric. Peu importe la qualité de leur produit.

    Bien cordialement.

    Bon week-end à tous.

    Jonas - Tahiti.