Sécurité: Apple aurait 10 ans de retard sur Microsoft, Réactions à la publication du 30/04/2012

[Lionel]

Dans une interview, Eugene Kaspersky, fondateur de la société antivirus du même nom, n'a pas été tendre avec Apple.
Il considère en effet que le développement de logiciels malveillants n'est pas plus compliqué sur Mac que sur PC et, encore plus dur, annonce qu'Apple aurait dans le domaine de la sécurité un retard de 10 ans sur Microsoft.
Il manquerait à Apple ce que Microsoft a mis en place il y a 10 ans, créer de solides équipes totalement dédiées à la sécurité de Mac OS X, qui soient proactives et réactives à toute menace et puisse intervenir d'urgence via des mises à jour. Il va s'agir également d'aller régulièrement éplucher les codes afin d'y chercher des failles potentielles ou trouver le moyen de combler celles exploitées.

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.
Heureusement, à cause de ces politiques commerciales Apple va certainement prendre très vite les mesures nécessaires pour tout faire afin de sécuriser au mieux son OS. La société a quand même un énorme atout dans ses cartes, le fait d'utiliser un noyau Unix qui a déjà été éprouvé depuis plus de 20 ans. D'autres mesures ont aussi été prises. Adobe gère maintenant directement les mises à jour Flash et Oracle a annoncé qu'il en ferait de même avec les mises à jour Java, ce qui permet une réactivité très supérieure.
Apple pourra donc se focaliser sur sa partie, les nombreuses composantes greffées au-dessus d'Unix pour en faire Mac OS X. C'est déjà un travail colossal et la philosophie du codage et de la vérification du code vont maintenant changer alors que l'on sait que des pirates sont en embuscade pour traquer et exploiter la moindre faille.
Par Lionel

[powerdoc]

Je n'ai aucune confiance dans ce bonhomme, qui essaye de nous vendre depuis des années un soft totalement inutile sur Mac.
Il est clair qu'Apple devra se soucier plus dans le futur de la sécurité, mais faire du catastrophisme et annoncer 10 ans de retard, c'est du foulage de gueule.
Je vois bien un constructeur clamer qu'il a 10 ans d'avance en matière de sécurité, alors qu'il a mille fois plus d'accidents ...

[zorphil]

Ces éditeurs d'anti-virus russes qui la jouent menaçante ... Oh que ça pue !
Personnellement voici comment je comprends la situation :
"vous avez de si beaux enfants... Ce serait dommage qu'il leur arrive un grave accident..."

[2012]

10 ans assit sur ses lauriers, voila comment on peut aussi voir la situation...

[Lionel]

Je n'ai aucune confiance dans ce bonhomme, qui essaye de nous vendre depuis des années un soft totalement inutile sur Mac.
Il est clair qu'Apple devra se soucier plus dans le futur de la sécurité, mais faire du catastrophisme et annoncer 10 ans de retard, c'est du foulage de gueule.
Je vois bien un constructeur clamer qu'il a 10 ans d'avance en matière de sécurité, alors qu'il a mille fois plus d'accidents ...

Ces éditeurs d'anti-virus russes qui la jouent menaçante ... Oh que ça pue !
Personnellement voici comment je comprends la situation :
"vous avez de si beaux enfants... Ce serait dommage qu'il leur arrive un grave accident..."

Je n'ai jamais cru au tout blanc ou tout noir.

[almux]

Je rigole!

[r@net54]

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.
Heureusement, à cause de ces politiques commerciales Apple va certainement prendre très vite les mesures nécessaires pour tout faire afin de sécuriser au mieux son OS. La société a quand même un énorme atout dans ses cartes, le fait d'utiliser un noyau Unix qui a déjà été éprouvé depuis plus de 20 ans. D'autres mesures ont aussi été prises. Adobe gère maintenant directement les mises à jour Flash et Oracle a annoncé qu'il en ferait de même avec les mises à jour Java ce qui permet une réactivité très supérieure.
Apple pourra donc se focaliser sur sa partie, les nombreuses composantes greffées au dessus d'Unix pour en faire Mac OS X. C'est déjà un travail colossal et la philosophie du codage et de la vérification du code vont maintenant changer alors que l'on sait que des pirates sont en embuscade pour traquer et exploiter la moindre faille.
Par Lionel

Ce monsieur affirme des choses effectivement dans le sens de son business. Pour autant leurs réalité est tout a fait discutable, d'autant que ce sont toujours les memes arguments qui sont avancés depuis des années sans que la réalité en soit affectée...

Une 1ere chose est certaine: les éditeurs d'antivirus ne gagnent pas d'argent avec MacOS et encore moins avec iOS. Et vu la croissance de ces deux la, ils voudraient évidement en profiter, d'autant que la situation économique est négative.

2) Aucun antivirus ne peut combattre les malware du type trojan, pour la simple raison qu'il s'agit d'un soft qui doit être installé EXPLICITEMENT par l'utilisateur. Evidement une fois qu'un soft de ce type est massivement répandu, les antivirus peuvent l'identifier et l'intercepter, mais cela ne sert pas a grand chose...

3) Il y a eu quelques véritables virus sur MacOS 9, et de rares démonstrations de possibilités sur OS X. Mais aucun cas de virus ne s'est répandu notablement sur OS X.

4) iOS est exempt de virus.

5) L'argument terroriste et commercial développé par les vendeurs d'antivirus est que MacOS était trop marginal pour que les hacker et cybercriminels s'y intéressent. C'est totalement fallacieux:

a) un hacker est motivé par l'exploit, la demonstration, nullement par la quantité de machines présentes. Et hacker un Unix(MacOS X, iOS) est autrement plus valorisant que de "découvrir" une enieme faille dans une passoire comme Windows.
Ignorer cela revient a dire que l'éditeur d'antivirus ne connait rien du hacker...

Les cybercriminels sont motives par le rapport risques+ressources/bénéfices: sachant que les Mac etaitent des machines réputés haut de gammes et de luxes, ils étaient potentiellement plus intéressant que des PC de bases. Seulement OS X est autrement mieux conçu et plus resitant que Windows, donc le bénéfice potentiel est bien plus faible que pour des machines Wintel...
Ignorer cela revient a dire que l'éditeur d'antivirus ne connait rien du cybercriminel...

c) iOS est massivement répandu: toujours pas de menace sérieuse!

d) On trouve sur le net des générateurs de virus et autres malwares a la pelle pour Windows. Ils sont utilisés par les scriptkiddies: ados désoeuvrés en mal de reconnaissance et autres "vandale" du dimanche pour qui bousiller une machine est juste un moyen de se faire remarquer. Certes, ce genre de personnage a moins d'intérêt envers un Mac qu'un PC, mais si de tels générateurs existaient, ils les utiliseraient... hors ils n'y en a pas

e) alors que l'on compte des milliers de réseaux de PC zombies - donc infectes par un malware transformant le PC en relais pour une attaque massive type DDoS - on ne connait que 2 cas de réseaux -tres limités- de Macs datant de plusieurs années de ça.
Pourtant les gens derrière ces infections sont des pro et disposent de moyens considérables (organisations mafieuses, industriels ou militaires). La sous représentation pourrait effectivement expliquer ça s'il n'y avait jamais eu de cas...
De plus, la quantité de machines iOS auraient deja du interresser ce type de criminel, hors ce n'est pas le cas, alors que l'on voit depuis un bout de temps des quelques malwares potentiellement de cette catégorie sur Android et pulluler sur feu Windows Mobile 5 et 6...

6) Les éditeurs d'antivirus ont démontré dans le monde Wintel leur totale inefficacité!
Chaque années les organismes nationaux de sécurité des pays industrialisés publient leurs statistiques concernant les activités cybercriminelles et donc les niveaux d'infections et type d'attaques. Les rapports des agences américaines sont parmi les plus cites et les plus représentatifs. Or chaque années, ces rapports montrent:
- le nombre de PC Windows infectes est en croissance
- le nombre d'attaques massives s'appuyant sur des PC zombie - type DDoS - est en croissance
- les couts économiques pour les états ou les industries lies a ces attaques sont en croissance


7) Si dans le monde des consultants en sécurité informatique on reconnaît qu'Apple a été moins dynamique que Microsoft depuis les 10 dernières années, on constate:
- depuis au moins 3 ans Apple est engagé dans une approche de sécurisation globale, originale et sérieuse
- Apple dispose de bases incomparablement plus solides que Microsoft
- Microsoft fait des audits performant de son code (aujourd'hui) et patch, mais est toujours massivement dans une approche classique - soit avec toujours un coup de retard par rapport aux cybercriminels et aux hackers. L'approche la plus convaincante de Microsoft a été faite avec Vista...
- La technique la plus efficace de lutte contre les virus impliques dans les attaques de masses de type DDoS a été mise en place par Microsoft et consiste a financer des procédures judiciaires visant a démanteler les organisations a l'origine de ces activités...

8) Apple, a la difference de Microsoft, a pour objectif de securiser son ecosysteme en plus des machines. Cela passe par un ensemble d'éléments, de la signature des applications en passant pas les techniques classiques de sandboxing jusqu'à la certification et distribution par les appstore.
De plus Apple remet les éditeurs face a leurs responsabilités: si le logiciel introduit, de par ses fonctions ou sa conception, des failles de sécurités, Apple en désactive l'installation et responsabilise l'utilisateur et l'éditeur: c'est typiquement le cas avec Java ou Flash.

9) Les bases de MacOS et d'iOS suffisent, du moment que l'on en utilise correctement les fonctionnalites, à securiser a un niveau normal les machines (comptes administrateurs et utilisateurs, droits d'accès des fichiers,firewall...)
Apple offre également des systèmes de sauvegardes efficaces, faut il encore les employer.

10) Il existe assez de softs libres et gratuits permettant de monter encore le niveau de sécurité de MacOS qui rendent encore plus inutiles des softs "antivirus" commerciaux, lourds et potentiellement cause de dysfonctionnements: ClamXav, WaterRoof, Trucrypt, GPG, Enigmail...

Au final, on peut regretter qu'Apple dispose d'une communication catastrophique sur la sécurité. Mais cela est dans la tradition de mauvaise communication (euphémisme) d'Apple.
On peut aussi regretter qu'Apple ne soit pas aussi réactive (au moins en apparence) que l'est Microsoft face a une menace mediatiquement identifiée. La aussi c'est une tradition d'Apple.

[jmeunier]

Le plus avance des antivirus ne remplacera jamais le bon sens de ne pas telecharger / installer n'importe quoi sur sa machine.
Et une fois que l'on est sensibilise au fait qu'un fichier qui s'appelle scarlett-johansson-veut-te-faire-l-amour.dmg est assez etrange...

--
J.

[grogeek]

@rom54at


"c) iOS est massivement répandu: toujours pas de menace sérieuse!"


Quid du vol des contacts par certaines applications validées qui plus est ?


Sans parler de cela :

http://www.journaldunet.com/solutions/secu...et-chrome.shtml

Ce message a été modifié par grogeek - 30 Apr 2012, 08:09.

[GStepper]

C'est du "Knock" (Jules Romains):

- Tout mac bien portant et un mac vérolé qui s'ignore;

En revanche, si Apple renforce ses équipes sécurité OS X/ iOS, ça ne peut pas être un mal.
Là dessus, je suis d'accord avec Eugene Kaspersky.

Ce message a été modifié par GStepper - 30 Apr 2012, 08:08.

[GregWar]

Ambiance FUD chez Kaspersky :-)

Faut comparer ce qui est comparable... il y a 10 ans, XP était permissif jusqu'au cœur de ses fondations (comme OS 6/7/8/9).
On n'a pas besoin de le même armée pour protéger un château fort et pour un terrain en rase campagne.

Il y a 10 ans, Apple sortait X.2... OS X c'est quand même une sacrée réponse en terme de sécurité, face aux OS Desktop de l'époque.
Il y a 10 ans, on commençait seulement à se dire que finalement on ne rendrait pas les armes du côté de la Pomme.

Et depuis 10 ans, on a finalement eu très peu de menaces sérieuses, c'est bien la preuve que la politique menée était à la hauteur des enjeux. Je ne crois pas à la chance sur une telle échelle.

Ceci dit, même avec les meilleures fondations, il faut une équipe de sécurité de choc, parce que ça restera toujours une fuite en avant, et une course à l'armement.
Oui, Apple doit s'améliorer, surtout en terme de réactivité, mais les propos de Kaspersky font un peu concessionnaire auto foireux.

@rom54at


"c) iOS est massivement répandu: toujours pas de menace sérieuse!"


Quid du vol des contacts par certaines applications validées qui plus est ?

C'est un réel problème, c'est grave, et il faut en tirer les conséquences.
(si on parle de la validation Apple, je peux tirer à boulets rouges aussi, mais c'est pas le sujet).

Mais c'est un épiphénomène, non ?

Je ne connais pas toute l'histoire, mais l'appli est incapable de se répliquer, de se déployer, elle est signée, on a surement pu retrouver les fautifs, et la neutraliser en un rien de temps.

[GStepper]

@ GregWar

De plus une simple recherche "Android malware" sur Google donne des résultats pour le moins impressionnants…
Il y a un rapport de 1 pour 100 voir plus entre ce qu'on trouve sur iOS et ce qu'on trouve sur Android…

[agon]

Apple ne cherche pas à retrouver les virus sur nos machines pour les détruire, elle vérifie que nos applications ne sont pas dangeureuses à l'utilisation. Ca va même plus loin que les virus, trojans et autres malwares.
Eugène ne voit pas qu'OSX est beaucoup plus sécurisé que Windows à la source.

Eugène voudrait vendre des congélateurs aux esquimaux qu'il ne s'y prendrait pas autrement .

[elub88]

Le plus avance des antivirus ne remplacera jamais le bon sens de ne pas telecharger / installer n'importe quoi sur sa machine.
Et une fois que l'on est sensibilise au fait qu'un fichier qui s'appelle scarlett-johansson-veut-te-faire-l-amour.dmg est assez etrange...

--
J.

pourquoi tu t'es déjà fait avoir en en téléchargeant un ?

[elbacho]

@rom54at


"c) iOS est massivement répandu: toujours pas de menace sérieuse!"


Quid du vol des contacts par certaines applications validées qui plus est ?


Sans parler de cela :

http://www.journaldunet.com/solutions/secu...et-chrome.shtml

Pas toujours besoin d'exploiter une faille de sécurité de l'OS exploiter une faille de la plate forme suffit.

http://www.secuinsight.fr/2012/04/19/des-m...droid-au-japon/
"Symantec a constaté l’apparition de 29 applications malveillantes entre février et mars 2012 sur Google Play, probablement développées par le même individu, ou la même organisation. Elles auraient été installées entre 70000 et 300000 fois, et peuvent se transmettre d’un utilisateur à ses contacts"

http://www.cnetfrance.fr/news/android-un-m...am-39770947.htm

http://www.journaldugeek.com/2012/04/16/an...che-un-malware/

http://www.undernews.fr/telephonie-phreaki...ilisateurs.html

[SartMatt]

1/ Aucun antivirus ne peut combattre les malware du type trojan, pour la simple raison qu'il s'agit d'un soft qui doit être installé EXPLICITEMENT par l'utilisateur. Evidement une fois qu'un soft de ce type est massivement répandu, les antivirus peuvent l'identifier et l'intercepter, mais cela ne sert pas a grand chose...
2/ iOS est exempt de virus.
3/ L'argument terroriste et commercial développé par les vendeurs d'antivirus est que MacOS était trop marginal pour que les hacker et cybercriminels s'y intéressent. C'est totalement fallacieux
4/ un hacker est motivé par l'exploit, la demonstration, nullement par la quantité de machines présentes. Et hacker un Unix(MacOS X, iOS) est autrement plus valorisant que de "découvrir" une enieme faille dans une passoire comme Windows.
5/ iOS est massivement répandu: toujours pas de menace sérieuse!
6/ alors que l'on compte des milliers de réseaux de PC zombies - donc infectes par un malware transformant le PC en relais pour une attaque massive type DDoS - on ne connait que 2 cas de réseaux -tres limités- de Macs datant de plusieurs années de ça
7/ Or chaque années, ces rapports montrent:
- le nombre de PC Windows infectes est en croissance
- le nombre d'attaques massives s'appuyant sur des PC zombie - type DDoS - est en croissance
8/ depuis au moins 3 ans Apple est engagé dans une approche de sécurisation globale, originale et sérieuse
9/ Microsoft fait des audits performant de son code (aujourd'hui) et patch, mais est toujours massivement dans une approche classique - soit avec toujours un coup de retard par rapport aux cybercriminels et aux hackers.
10/ De plus Apple remet les éditeurs face a leurs responsabilités: si le logiciel introduit, de par ses fonctions ou sa conception, des failles de sécurités, Apple en désactive l'installation et responsabilise l'utilisateur et l'éditeur: c'est typiquement le cas avec Java ou Flash.
11/ Les bases de MacOS et d'iOS suffisent, du moment que l'on en utilise correctement les fonctionnalites, à securiser a un niveau normal les machines (comptes administrateurs et utilisateurs, droits d'accès des fichiers,firewall...)
12/ Il existe assez de softs libres et gratuits permettant de monter encore le niveau de sécurité de MacOS qui rendent encore plus inutiles des softs "antivirus" commerciaux, lourds et potentiellement cause de dysfonctionnements: ClamXav, WaterRoof, Trucrypt, GPG, Enigmail...

1/ C'est faux. Un trojan non reconnu par la base de signatures peut être reconnu comme potentiellement dangereux, en se basant sur une analyse heuristique (étude du comportement du logiciel pendant qu'il s'exécute).
Par exemple, un keylogger a toutes les chances d'être détecté même s'il n'est pas connu.
Idem pour un logiciel qui irait planquer des entrées au fin fond de la base de registre, ou qui essayerait d'aller modifier des fichiers systèmes...

Ensuite, quand bien même le malware est détecté uniquement par signature une fois qu'il a contaminé un certain nombre de machines, pourquoi à partir de là l'anti-virus ne sert plus à grand chose ? Les malware les plus répandus de l'histoire ont à peine dépassé 10 millions de postes infectés, sur plus d'1 milliard d'ordinateurs. Donc même quand un malware est déjà très répandu, il y a TOUJOURS beaucoup plus de machines infectables (donc à protéger) que de machines infectées.

2/ Exempt de virus, mais pas forcément exempt de faille qui auraient pu être exploités malicieusement et faire très mal... L'exemple classique étant la faille JailbreakMe : elle permettait de jailbreaker l'appareil sans intervention de l'utilisateur, simplement en visitant une certaine page.
Et qui dit jailbreak dit droits root. Et qui dit droit root dit possibilité de faire du très malicieux...
Un simple lien bien placé sur un forum fréquenté aurait pu briquer bon nombre d'iPhone si quelqu'un avait voulu le faire...
L'absence de virus, iOS la doit beaucoup à son écosystème ultra-fermé, pas à sa sécurité intrinsèque.

3/ Pourtant, les faits montrent qu'avec le temps, plus OS X devient populaire, plus il est victime d'attaques... Et pourtant, c'est pas parce que l'OS devient moins sécurisé (au contraire, il l'est de plus en plus).
Il n'y a que les fanatiques qui ne comprennent pas ça, car même Apple l'a compris, admettant implicitement qu'OS X est vulnérable en commençant à intégrer un anti-malware dans OS X...

4/ Et justement, à la conférence Pwn2own, Charlie Miller a plusieurs années de suite réussi à hacker OS X... alors qu'à ces mêmes conférences, certaines années personne n'avait trouvé de solution pour Windows...
Accessoirement, hacker un Unix, c'est pas exceptionnel hein... Dans le monde des serveurs, les machines Unix et Linux sont régulièrement compromises...

5/ Parce que iOS est bien plus sécurisé (enfin plutôt verrouillé, c'est pas de la sécurité intrinsèque) qu'OS X, et parce qu'en face d'iOS, il y a un OS à la fois bien plus répandu et moins verrouillé (Android, très ouvert, mais du coup plus vulnérable)...

Alors que dans le monde des ordinateurs, OS X n'est pas plus sécurisé (plutôt moins, même si je chiffrerais plus ça à trois ou quatre ans de retard qu'à dix ans... faut pas exagérer, dix ans c'était la première version de Windows XP, qui était une vraie passoire, y avait même pas de firewall à l'époque), et en plus, bon nombre de ses utilisateurs sont insouciants, pour ne pas dire inconscients... Et ça, c'est LA plus grosse faille de sécurité. Aujourd'hui sous Windows, il suffit que l'utilisateur ne soit pas insouciant pour que sa machine soit quasi impossible à infecter.
Y a un moment où faut arrêter la méthode Coué, elle n'a JAMAIS fait ses preuves en sécurité informatique, ce sont aux contraires souvent ceux qui sont le plus persuadés d'être en sécurité qui s'en prennent le plus dans la gueule...

6/ T'as pas entendu parler de Flashback ces dernières semaines ?
Avec 600 000 machines Mac infectées, ce botnet a atteint un taux de pénétration dans le parc Mac équivalent à ceux des botnet du top 10 sous Windows...

7/ Ce qui ne veut pas dire que les anti-virus sont inefficaces...
Pour juger de l'efficacité ou non des anti-virus, il ne faut pas regarder juste la croissance du nombre d'infection, mais comparer les taux d'infections entre le parc avec anti-virus et le parc sans anti-virus... S'il est supérieur dans le parc de machines sans anti-virus, c'est que les anti-virus sont efficaces (efficace, ça ne vaut pas dire invulnérable hein... de même qu'un vaccin, aussi efficace soit-il, ne garantira jamais une immunité à 100%).

8/ T'es sérieux quand tu dis ça ?
Apple traine toujours autant la patte qu'avant quand il s'agit de propager les correctifs de sécurité des nombreux composants open-source sur lesquels est construit Mac OS X... On l'a encore vu récemment avec Flashback.
Leur seule approche "originale" de la sécurité, c'est de verrouiller et de contrôler de plus en plus les machines... Mais je pense que le but là, c'est surtout de tout faire passer par eux pour prendre leur com au passage, sous couvert de mesure de sécurité...

9/ C'est faux. Les failles 0-day sont devenues rares sous Windows, même s'il y en a toujours, c'est inévitable. Quasiment toutes les grosses infections de ces dernières années exploitaient d'ailleurs des failles déjà corrigées, sur des machines qui n'avaient pas été à jour (notamment parce que beaucoup de gens qui ont un Windows tombé du camion n'appliquent pas les mises à jour... alors que Microsoft a pris la décision, pour des raisons de sécurité, de ne pas bloquer les mises à jour pour les versions pirates, même si elles sont clairement identifiées comme telles). Se tenir à jour est particulièrement important, car justement, c'est souvent en analysant les différences entre les binaires originaux et les binaires patchés que les "pirates commerciaux" trouvent les failles et les moyens de les exploiter... Et c'est là qu'il y a un énorme souci avec Apple : dans le monde de l'open-source, exploiter une faille connue est très facile, grâce à l'accès au code source. Et comme Apple met toujours des mois à propager les correctifs des composants open-source, il suffit de suivre les changelog de ces composants pour repérer les correctifs de failles de sécurité et aller ensuite exploiter ces failles sur Mac... Pour l'anecdote, c'est comme ça qu'a procédé Charlie Miller pour corrompre Mac OS X plusieurs années de suite au Pwn2own... Les mises à jour est encore plus important dans l'open source que dans le propriétaire...

10/ Ah bon, Apple a désactivé Java ? C'est pourtant par Java qu'est passé Flashback, parce que Apple n'avait pas déployé le correctif de sécurité fourni depuis plusieurs mois par Oracle...

11/ Idem sous Windows... Mais quand tu vois que sous OS X, le firewall n'est même pas activé par défaut, y a de quoi se poser des questions... Les sécurité de base devraient être activées par défaut.
Et le firewall d'OS X ne permet même pas le contrôle des flux sortant. En 2012, c'est assez dingue quand même (enfin pour être précis, il le permet, mais que en ligne de commande).

12/ Pareil sous Windows...

Ce message a été modifié par SartMatt - 30 Apr 2012, 09:29.

[grogeek]

@rom54at


"c) iOS est massivement répandu: toujours pas de menace sérieuse!"


Quid du vol des contacts par certaines applications validées qui plus est ?


Sans parler de cela :

http://www.journaldunet.com/solutions/secu...et-chrome.shtml

Pas toujours besoin d'exploiter une faille de sécurité de l'OS exploiter une faille de la plate forme suffit.

http://www.secuinsight.fr/2012/04/19/des-m...droid-au-japon/
"Symantec a constaté l’apparition de 29 applications malveillantes entre février et mars 2012 sur Google Play, probablement développées par le même individu, ou la même organisation. Elles auraient été installées entre 70000 et 300000 fois, et peuvent se transmettre d’un utilisateur à ses contacts"

http://www.cnetfrance.fr/news/android-un-m...am-39770947.htm

http://www.journaldugeek.com/2012/04/16/an...che-un-malware/

http://www.undernews.fr/telephonie-phreaki...ilisateurs.html

Oui, ton premier lien ne concerne que le Japon ! E tsurtout, Google ne se vante pas de VALIDER les applis comme sous iOS qui laisse pourtant passer des saletés. (Tiens, sur iOS c'est tout rose aussi (et validé): http://www.igeneration.fr/app-store/securi...hotos-maj-80332)

La fausse application Instagram = Ils ont pris le risque d'avoir des applis DL depuis le net, voila le résultat. Rien a voir avec le market officiel sur ce coup là. !!!! (donc pas une faille ou un exploit. mais du simple attrait du piratage)

Angry bird = comme instagram. Sur un market NON-Officiel ! un attrape couillon.
Ca existe du reste dans les version d'iWork piratées... sur OS X, tu sais.

Pour le dernier cas, c'est le seul valable pour moi. Maintenant, vu que les users Mac parlent de 'responsabilité' d'éducation et ne pas cliquer n'importe ou, je reprend ces propos car l'appli en question avait une liste d'autorisations suspectes.




Ce message a été modifié par grogeek - 30 Apr 2012, 09:39.

[El Bacho]

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.

Quand est-ce qu'Apple a vanté pour la dernière fois son infaillibilité ? Je crois que c'était lors des pubs Mac et PC, à l'époque de Vista. Et encore, c'était moins une question d'infaillibilité (théorique) que de comparaison du nombre de virus et de programmes parasites divers en circulation.

La page sécurité de Mac OS X Lion décrit les initiatives prises pour protéger les Macs et se veut évidemment très rassurante, mais elle ne suggère absolument pas que le système soit infaillible :

http://www.apple.com/fr/macosx/what-is/security.html

L'infaillibilité vient surtout d'un excès de confiance de l'utilisateur, et Apple n'en est pas totalement responsable.
L'entreprise, en dehors de n'avoir pas réagi assez vite à certaines attaques virales et autres, a surtout eu le tort de ne pas inciter davantage les utilisateurs à la prudence, de ne pas suggérer assez de précautions.

En tout cas, de mon côté, je suis convaincu que mon système recèle un bon nombre de trous de sécurité et qu'il faut que je me méfie des sites douteux ou des logiciels dont je n'ai jamais entendu parler. Comme c'est le cas avec n'importe quel autre système.

Heureusement, à cause de ces politiques commerciales Apple va certainement prendre très vite les mesures nécessaires pour tout faire afin de sécuriser au mieux son OS. La société a quand même un énorme atout dans ses cartes, le fait d'utiliser un noyau Unix qui a déjà été éprouvé depuis plus de 20 ans. D'autres mesures ont aussi été prises. Adobe gère maintenant directement les mises à jour Flash et Oracle a annoncé qu'il en ferait de même avec les mises à jour Java ce qui permet une réactivité très supérieure.

Unix, ça n'est pas automatiquement un atout, Android c'est du Linux à la base et ça n'empêche pas du tout les malwares.

Java, ça sera au moins jusqu'à la fin de la période de transition vers Oracle un grand talon d'Achille d'OS X. Apple a géré de façon catastrophique les mises à jour de sécurité Java et l'entreprise est pleinement responsable de ses déboires avec Flashback. Les équipes auraient dû accorder une priorité beaucoup plus élevée aux correctifs disponible depuis février, ça aurait suffi à empêcher la contamination d'un grand nombre de machines. Il aura fallu qu'un éditeur russe jusque là inconnu de la communauté Mac donne des chiffres édifiants (mais dont le calcul était au final juste) sur le nombre de machines touchées pour qu'une mise à jour de sécurité sorte quelques jours plus tard.
Et quand la transition sera effectuée, il restera toujours le problème des machines sous Snow Leopard ou en dessous, qui conserveront une JVM signée par Apple installée d'office et qui ne recevront plus forcément de mises à jour de sécurité si Apple s'en tient à sa règle du support maxi de deux ou de trois versions d'OS X.
Ce sont déjà les machines sous SL qui forment l'essentiel des postes infectés par Flashback :

http://arstechnica.com/apple/news/2012/04/...ard-hardest.ars

Là où Kaspersky caricature la situation, c'est surtout qu'il y a quand même de vraies initiatives prises par Apple sur OS X depuis des années, qui vont bien au delà de là où Microsoft en était en 2002. Pas simplement l'abandon de l'installation directe de Flash ou de Java, aussi du côté du sandboxing et de l'ASLR, qui correspondent à un gros travail de refonte du code de l'OS et des applications installées.

http://arstechnica.com/apple/news/2012/04/...d-microsoft.ars

Le problème, c'est surtout le contraste entre les points où ils ont vraiment fait des efforts et ceux où il y a eu au contraire un laisser-aller, comme si tout le monde parmi les ingénieurs n'avait pas intégré la priorité que la sécurité représentait.

[grogeek]

Tiens pour une fois je suis d'accord avec El Bacho.

[yponomeute]

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.

Quand est-ce qu'Apple a vanté pour la dernière fois son infaillibilité ? Je crois que c'était lors des pubs Mac et PC, à l'époque de Vista. Et encore, c'était moins une question d'infaillibilité (théorique) que de comparaison du nombre de virus et de programmes parasites divers en circulation.

La page sécurité de Mac OS X Lion décrit les initiatives prises pour protéger les Macs et se veut évidemment très rassurante, mais elle ne suggère absolument pas que le système soit infaillible :

http://www.apple.com/fr/macosx/what-is/security.html

L'infaillibilité vient surtout d'un excès de confiance de l'utilisateur, et Apple n'en est pas totalement responsable.

Apple vante son infaillibilité tous les jours sur son site sur la page suivante :

http://www.apple.com/fr/why-mac/better-os/

Une petite perle extraite de la page :

Sans réclamer d'effort de votre part, Mac OS X vous défend contre les virus et autres logiciels malveillants.

Ce n'est pas de l'excès de confiance de l'utilisateur, c'est de la publicité mensongère de la part d'Apple.

Ce message a été modifié par yponomeute - 30 Apr 2012, 09:57.

[SartMatt]

Tiens pour une fois je suis d'accord avec El Bacho.

+1.

Sauf sur un point : quand il limite la responsabilité d'Apple dans l'insouciance des utilisateurs au fait qu'elle ne les a pas incités à prendre des précautions.

Pour moi la responsabilité d'Apple est aussi de leur avoir fait croire qu'ils sont en sécurité, via ses communications commerciales. Les pubs Mac vs PC par exemple, mais aussi plus récemment la communication sur la présence d'un anti-malware dans OS X (à partir du moment où Apple communiquait là dessus, fallait soit préciser qu'il est en fait très limité, pour que les utilisateurs se croient pas en totale sécurité, soit prendre ses responsabilités et le mettre à jour suffisamment souvent...).

Même la page actuelle sur la sécurité d'OS X, si elle est moins optimiste que par le passé, risque à mon avis toujours de contribuer à cette insouciance.

À ce niveau, je trouve que Microsoft fait bien plus son boulot. Par exemple, Windows lève une alerte de sécurité pour prévenir l'utilisateur lorsqu'il n'y a pas d'anti-virus ou lorsque l'anti-virus est désactivé. Comme ça l'utilisateur de base pensera à en installer, et l'utilisateur avancé n'aura qu'à désactiver l'alerte de sécurité s'il juge pouvoir se passer d'un anti-virus.

Ce message a été modifié par SartMatt - 30 Apr 2012, 10:01.

[malhomme]

+1
J'ai déjà dit ici sur d'autres sujets qu'un OS qui te demande de rentrer ton pass administrateur toutes les 15 secondes pour tout et n'importe quoi te forme en réalité à l'insouciance. On en a tellement marre des fois que l'on ne finit par rentrer le truc sans même lire...

Ca, c'est bien du ressort de l'éditeur de l'OS en question.

Les questions techniques avancés sur ce forum sont surement fondées. Moi j'y comprends pas un mot sur 5 utilisés.

Parler de formation utilisateur avec une boite qui a fait son image sur "1 tu déballes, 2 tu branches, 3 t'allumes et 4, y'a pas de 4" n'a absolument pas le moindre sens.

Mais c'est une le syndrome informaticien.
Mon code est tout beau, c'est la faute de l'utilisateur si ça marche pas; Il s'entête à être humain et à ne pas penser strictement rationnellement ! ! ! !
Ce en quoi le dit informaticien montre toute... son irrationalité ! L'utilisateur finit par être l'ennemi du bon travail !

Le code c'est une chose. les processus d'usage derrière, c'en est une autre...

Ce message a été modifié par malhomme - 30 Apr 2012, 10:30.

[r@net54]

@rom54at


"c) iOS est massivement répandu: toujours pas de menace sérieuse!"


Quid du vol des contacts par certaines applications validées qui plus est ?


Sans parler de cela :

http://www.journaldunet.com/solutions/secu...et-chrome.shtml

Les cas auxquels tu fais implicitement référence ne sont ni un virus, ni n'exploitent une faille de sécurité...
Apple, dans ses OS et a destination des applications correctement écrites, fourni l'accès normalisé et encadré à des bases de données et des services.
Le carnet d'adresses fait partie de ces services!
Il se trouve que certains éditeurs ont détourné un accès normal pour piller une base de données personnelle.

Ce comportement, de voyous et d'escrocs, est hélas classique dans le monde commercial d'aujourd'hui.
Ce que l'on peut reprocher a Apple c'est, si on est gentil, d'avoir été d'une grande naïveté et d'avoir "cru" en l'honnêteté des éditeurs...
Apple aurait, et devrait toujours, donner en premier et de manière explicite et documentée un total contrôle a l'utilisateur sur ses données.
Donc l'utilisateur devrait être averti qu'une application désire accéder a ses données et a ce moment la seul l'utilisateur devrait pouvoir donnes un accès restreint a cette application.

C'est d'autant plus inexcusable de la part d'Apple que problème de l'accès au carnet d'adresses par un virus ou un malware a fait les beaux jours de l'industrie du spam sous Windows: de nombreux virus utilisaient outlook en arrivant par un email et ensuite balançaient l'intégralité des adresses et email sur des sites de spam.
Donc Apple savait très bien que le marche de la vente de "tete" (les données utilisateur) est très dynamique.

Vient ensuite le problème que tu evoques des logiciels voyous, ou du moins ayant de fonctions ne respectant pas la vie privée, le droit sur les données et le stockage des données permettant l'identification (et le profilage), et qui sont par ailleurs validés sur l'AppStore, ou qui ont pignon sur rue dans le commerce. Dans cette catégorie on peut ranger:
- les produits Adobe (Flash bien sur mais aussi Acrobat Reader, Adobe update, etc)
- les produits Microsoft (word, excel,..)
- de nombreux softs qui nécessitent un enregistrement et une connexion permanente au net pour fonctionner (un soft qui nécessite un numéro de série + un code d'activation ne peut qu'être suspect! )
- et tous ceux qui n'ont aucune fonction internet mais qui "bavardent" beaucoup sur le Net, notamment avec des sites publicitaires
- ces sangsues de "réseaux sociaux" avec en première ligne Facebook ou MSN.

Il suffit d'installer Little Snitch (ou equivalent) pour voir le flot de données que generent la majorité des app aujourd'hui.
C'est encore plus problématique avec les applications pour iOS sur lesquelles il est difficile, pour l'utilisateur lambda, de voir ce qu'elles font a ce niveau.

Tout cela est il un problème de sécurité lie a des failles?
Non.
Est ce un problème de sécurité lie a une erreur de conception?
Oui, en partie

C'est un problème surtout lie a un diktat du monde commercial dans lequel l'or est devenu la donnée utilisateur vérifiée et sa monétisation multiple. Nous sommes devenus des produits, que se revendent de manière multiples les sociétés spécialisées dans le marketing et la publicité.

Apple devrait elle inclure ces comportements dans ses normes de sécurités?
Du point de vue de l'utilisateur et des droits du citoyen (en france c'est encadre par la CNIL, suffit de voir ce qu'il en reste...) la réponse est clairement oui.
Du point de vue de l'industriel, de l'éditeur et du marketteux, non et si Apple fait ça a priori ce sera une campagne de dénigrement "sales" contre Apple...
CQFD?

[malhomme]

Les cas auxquels tu fais implicitement référence ne sont ni un virus, ni n'exploitent une faille de sécurité...
Apple, dans ses OS et a destination des applications correctement écrites, fourni l'accès normalisé et encadré à des bases de données et des services.
Le carnet d'adresses fait partie de ces services!
Il se trouve que certains éditeurs ont détourné un accès normal pour piller une base de données personnelle.

En fait on pas d'accord sur la notion de faille de sécurité.
Une faille de sécurité n'est pas qu'une faille technique. C'est juste un aspect possible.
Dire que l'éditeur n'a pas envisagé qu'il y ait "des méchants" qui vont utiliser ses outils à leur profit est... euh en fait je manque de mots...

Et oui c'est une faille de sécurité gravissime. Elle montre à quel point l'éditeur est à la rue quant aux réflexions de fond sur les usages de ses outils et produits. C'est bien pire qu'un bout de code mal foutu, parce que cela à des conséquences partout, et il semble d'un coup que les bruits sur l'absence de vraie culture de la sécurité chez Apple sonnent un peu trop réels...

Vu de ma lointaine fenêtre, s'entend...

[SartMatt]

(un soft qui nécessite un numéro de série + un code d'activation ne peut qu'être suspect! )

T'en as d'autres des blagues comme ça ?
Quasiment tous les softs un peu chers d'aujourd'hui fonctionnent comme ça...

[noop]

Quel crédit apporter à quelqu'un qui est juge et partie !

[Xdave]

C'est un fameux débat en effet.
J'ai tendance à me dire que de toutes les façons le problème est le suivant.
L'informatique ça n'est pas si vieux.
L'informatique jusqu'à il y a peu était encore le terrain de Geek, dans la mesure où les utilisateurs sont juste des ... utilisateurs.

La plupart n'ont aucune connaissances "techniques". Parce qu'ils n'ont pas de permis de conduire, qu'ils ne prennent même pas la peine de lire une bête documentation aussi mince que celle qui accompagnent leur Mac alors espérer qu'ils lisent les alertes qui s'affichent à l'écran et leur demander de réfléchir un peu plus qu'un miroir est utopique.
Ce sont des chauffards dangereux pour le coup.
Ils ne changent jamais les pneus, ne font que rarement le plein et encore moins de contrôle technique.
Ils ne réagissent que quand c'est un platane qui les informe qu'ils ont fait une sortie de route.

Alors oui, quand j'entends les "New Mac Users" qui adopte la plateforme "parce qu'il y a pas de virus sur Mac", j'ai envie de leur dire à chaque fois que ça ne les empêche pas de faire un minimum attention à ce qu'ils mettent sur leur machines.
Cf nbre d'amis qui m'appellent en pleurant parce que leur PC fait des trucs bizarre mais qui ont
#1 un PC d'occaze qui n'a jamais été remis à zéro (y a des trucs qui trainent partout de l'ancien utilisateur),
#2 installer 2 antivirus dont un qui est en fait un malware qui se fait passer pour un antivirus (lol)
#3 Qui téléchargent comme des morts de fin des trucs sur le P2P
#4 Qui sont sous XP sans aucune mise à jour système
#4' Le CD d'install orginal? C'est quoi ça?
#5 qui installent toutes les daubes qui se présentent sur internet avec une jolie couleur qui clignotte
#6 qui ont un mot de passe à la marre moi le nerd
#7 ils ne lisent certainement pas MAcBidouille ou un bulletin de sécurité

Etc... leur mauvaise conduite sera la même sur n'importe qu'elle OS!... sauf peut-être iOS à moins de Jailbreak et de Cidia.. parce que ça, par contre, ils savent faire (faire)...

Pour l'anecdote, semaine dernière, par curiosité après une news, j'ai installé un antivirus pour faire un scan pour voir...
J'ai trouvé 4 virus sur mon Mac !!!!
4 petites daubes qui sont des "virus" Java/Windows (dans le dossier .jar invisible par défaut pour faire simple ...)...
Pour Mac OS? Rien de rien. Mais ça aurait donc pu arriver il y a 15 jours avec la faille JAVA.

[toubaigne]

Le gros problème des virus etc....... ce sont les antivirus justement . L'expérience que j'ai de PC avec Kasperty est désastreuse sur un réseau les ordis sont carrément inutilisables à moins de désactiver Kasperty , d'où le choix simple être protégé mais être certain à 100% de ramer ou ne pas être protégé et de se dire qu'on a un risque de ?( moins de 100% en tout cas) d'attraper un virus et encore peut être 0% si on fait gaffe .
Donc au lieu de parler d'Apple , Kasperty devrait s'en doute pondre un soft plus efficace .
Pour Intego le problème est moins visible , moins intrusif ( évidemment moins sensible pour le moment ) en revanche le filtre anti-spyware je vois mal comment peut réagir sans doute la majorité des utilisateurs actuels derrière un clavier lorsque la question se pose d'accepter ou refuser des entrées aux noms barbares .
Malheureusement on sait tous où ceci va nous conduire avec cette fameuse parano grand public sur la sécurité : aux DRM , au passage obligé vers les AppStore ou applis Cloud ( voir Adobe , Blizzard ) au contrôle du web ( mots clefs interdits ex Google et la Chine ) Apple interdit bien certaines applis sur son Store selon des valeurs morales on peut imaginer un Safari bridé et sans doute le top du top en matière de rapport sécurité/commerce/bénef , des surf à la sauce iTunes c'est à dire contrôlés limités dans une appli .

Ce message a été modifié par toubaigne - 30 Apr 2012, 12:49.

[Lionel]

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.

Quand est-ce qu'Apple a vanté pour la dernière fois son infaillibilité ? Je crois que c'était lors des pubs Mac et PC, à l'époque de Vista. Et encore, c'était moins une question d'infaillibilité (théorique) que de comparaison du nombre de virus et de programmes parasites divers en circulation.

La page sécurité de Mac OS X Lion décrit les initiatives prises pour protéger les Macs et se veut évidemment très rassurante, mais elle ne suggère absolument pas que le système soit infaillible :

http://www.apple.com/fr/macosx/what-is/security.html

L'infaillibilité vient surtout d'un excès de confiance de l'utilisateur, et Apple n'en est pas totalement responsable.

Apple vante son infaillibilité tous les jours sur son site sur la page suivante :

http://www.apple.com/fr/why-mac/better-os/

Une petite perle extraite de la page :

Sans réclamer d'effort de votre part, Mac OS X vous défend contre les virus et autres logiciels malveillants.

Ce n'est pas de l'excès de confiance de l'utilisateur, c'est de la publicité mensongère de la part d'Apple.

Merci d'avoir donné la réponse à ma place.

[grogeek]

Le gros problème des virus etc....... ce sont les antivirus justement . L'expérience que j'ai de PC avec Kasperty est désastreuse sur un réseau les ordis sont carrément inutilisables à moins de désactiver Kasperty , d'où le choix simple être protégé mais être certain à 100% de ramer ou ne pas être protégé et de se dire qu'on a un risque de ?( moins de 100% en tout cas) d'attraper un virus et encore peut être 0% si on fait gaffe .
Donc au lieu de parler d'Apple , Kasperty devrait s'en doute pondre un soft plus efficace .
Pour Intego le problème est moins visible , moins intrusif ( évidemment moins sensible pour le moment ) en revanche le filtre anti-spyware je vois mal comment peut réagir sans doute la majorité des utilisateurs actuels derrière un clavier lorsque la question se pose d'accepter ou refuser des entrées aux noms barbares .
Malheureusement on sait tous où ceci va nous conduire avec cette fameuse parano grand public sur la sécurité : aux DRM , au passage obligé vers les AppStore ou applis Cloud ( voir Adobe , Blizzard ) au contrôle du web ( mots clefs interdits ex Google et la Chine ) Apple interdit bien certaines applis sur son Store selon des valeurs morales on peut imaginer un Safari bridé et sans doute le top du top en matière de rapport sécurité/commerce/bénef , des surf à la sauce iTunes c'est à dire contrôlés limités dans une appli .

Ce n'est pas une parano du grand public...
c'est une excuse pour les vendeurs d'OS pour t'enfermer encore plus dans leurs règles.

Car si le grans public était si parano, il n'y aurait pas de propagation aussi rapide dès qu'un truc malsain est dispo sur le net.

Ce message a été modifié par grogeek - 30 Apr 2012, 13:01.