Sécurité: Apple aurait 10 ans de retard sur Microsoft, Réactions à la publication du 30/04/2012

[Lionel]

Dans une interview, Eugene Kaspersky, fondateur de la société antivirus du même nom, n'a pas été tendre avec Apple.
Il considère en effet que le développement de logiciels malveillants n'est pas plus compliqué sur Mac que sur PC et, encore plus dur, annonce qu'Apple aurait dans le domaine de la sécurité un retard de 10 ans sur Microsoft.
Il manquerait à Apple ce que Microsoft a mis en place il y a 10 ans, créer de solides équipes totalement dédiées à la sécurité de Mac OS X, qui soient proactives et réactives à toute menace et puisse intervenir d'urgence via des mises à jour. Il va s'agir également d'aller régulièrement éplucher les codes afin d'y chercher des failles potentielles ou trouver le moyen de combler celles exploitées.

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.
Heureusement, à cause de ces politiques commerciales Apple va certainement prendre très vite les mesures nécessaires pour tout faire afin de sécuriser au mieux son OS. La société a quand même un énorme atout dans ses cartes, le fait d'utiliser un noyau Unix qui a déjà été éprouvé depuis plus de 20 ans. D'autres mesures ont aussi été prises. Adobe gère maintenant directement les mises à jour Flash et Oracle a annoncé qu'il en ferait de même avec les mises à jour Java, ce qui permet une réactivité très supérieure.
Apple pourra donc se focaliser sur sa partie, les nombreuses composantes greffées au-dessus d'Unix pour en faire Mac OS X. C'est déjà un travail colossal et la philosophie du codage et de la vérification du code vont maintenant changer alors que l'on sait que des pirates sont en embuscade pour traquer et exploiter la moindre faille.
Par Lionel

[Cochonou]

1/ C'est faux. Un trojan non reconnu par la base de signatures peut être reconnu comme potentiellement dangereux, en se basant sur une analyse heuristique (étude du comportement du logiciel pendant qu'il s'exécute).
Par exemple, un keylogger a toutes les chances d'être détecté même s'il n'est pas connu.
Idem pour un logiciel qui irait planquer des entrées au fin fond de la base de registre, ou qui essayerait d'aller modifier des fichiers systèmes...

Ça marche un peu mieux qu'avant, les moteurs heuristiques des anti-virus ? Parce que pendant très longtemps, c'était surtout efficace pour provoquer de fausses détections... Mais ça fait un moment que je ne me suis pas tenu au courant des derniers développements de cette technologie.

[SartMatt]

1/ C'est faux. Un trojan non reconnu par la base de signatures peut être reconnu comme potentiellement dangereux, en se basant sur une analyse heuristique (étude du comportement du logiciel pendant qu'il s'exécute).
Par exemple, un keylogger a toutes les chances d'être détecté même s'il n'est pas connu.
Idem pour un logiciel qui irait planquer des entrées au fin fond de la base de registre, ou qui essayerait d'aller modifier des fichiers systèmes...

Ça marche un peu mieux qu'avant, les moteurs heuristiques des anti-virus ? Parce que pendant très longtemps, c'était surtout efficace pour provoquer de fausses détections... Mais ça fait un moment que je ne me suis pas tenu au courant des derniers développements de cette technologie.

Ça dépend lesquels.
Certains sont un peu trop paranos effectivement, et lèvent des alertes pour un rien. Outpost en mode sécurité maximale va par exemple signaler CHAQUE accès en écriture à la base de registre, ce qui est un peu trop.

D'autres sont bien plus fins, et vont par exemple se contenter de signaler des tentatives de modification de fichiers exe/dll, de fichiers dans le répertoire Windows ou de certaines clés de la base de registre. Typiquement, ça va monitorer les clés utilisées par les malwares pour se lancer au démarrage de la machine sans passer par les clés standards destinées à ça, trop voyantes... j'en connais quatre un peu tordues (mais pas trop, y en a sans doute des bien plus tordues) qui sont détectées par les bons analyseurs heuristiques :
- la clé qui définit l'exécutable correspondant à l'interface graphique de Windows (explorer.exe) : en la modifiant, on peut faire exécuter n'importe quel logiciel (c'est pratique pour faire des bornes en accès libres limitées à une seule application, on ne lance pas l'interface graphique de Windows, juste l'application qu'on veut). Un malware peut être démarré par ce biais, en lançant ensuite lui même l'interface graphique pour que l'utilisateur ne se rende compte de rien,
- encore plus subtile : modifier les associations de fichiers. On prend un type de fichiers courant, genre avi, mp3, jpg... et on change l'application associée à ces fichiers. Là encore, on fait en sorte que le malware lance l'application légitime. Ainsi, le malware est pas exécuté au démarrage, mais a de bonnes chances de l'être assez rapidement. D'autant plus qu'il peut commencer par regarder dans les documents récemment utilisés pour cibler une extension à véroler,
- un peu plus vicieux : modifier l'association du .exe pour ne plus le spécifier comme exécutable, mais comme s'ouvrant avec l'exécutable du malware (qui du coup doit utiliser une autre extension exécutable, par exemple le .com, qui était utilisé sous DOS). Là, le malware sera exécuté automatiquement au démarrage, puisqu'il y a forcément des exécutables qui sont lancés,
- un autre classique : s'enregistrer comme librairie pour les aperçus de certains types de fichiers dans l'explorateur. Là le simple fait d'ouvrir un répertoire contenant ce type de fichiers déclenchera l'exécution du malware.

Ces quatre cas sont utilisés par certains malwares, et quasiment jamais utilisés par des logiciels légitimes, donc un analyseur heuristique levant des alertes sur ça déclenchera très peu de faux positifs.

With virtually no effort on your part, OS X defends against viruses and other malicious applications, or malware.

Deux choses modifiées en français :
- le "virtually", dont l'équivalent est "pratiquement", qui est absent de la V.F.
- le français est approximatif par rapport à l'anglais concernant l'article, ce qui le rend plus catégorique. Pas d'article en anglais au pluriel = l'article indéfini (a, an). "Against viruses" : contre les virus en général, voire juste de certains virus (si on est avocat travaillant pour Apple). Le français a l'article défini, ce qui change la connotation. "Contre les virus" = "contre (tous) les virus.

Tu noteras quand même que même en anglais, le titre du paragraphe c'est "Safeguard your data. By doing nothing." (qui pour le coup est bien traduit : "Sans rien faire").

On peut aussi considérer ce point comme clairement mensonger, vu le temps que met Apple a corriger des failles connues : "When a potential security threat arises, Apple responds quickly by providing software updates and security enhancements you can download automatically and install with a click."

Ce message a été modifié par SartMatt - 30 Apr 2012, 14:13.