Sécurité: Apple aurait 10 ans de retard sur Microsoft, Réactions à la publication du 30/04/2012

[Lionel]

Dans une interview, Eugene Kaspersky, fondateur de la société antivirus du même nom, n'a pas été tendre avec Apple.
Il considère en effet que le développement de logiciels malveillants n'est pas plus compliqué sur Mac que sur PC et, encore plus dur, annonce qu'Apple aurait dans le domaine de la sécurité un retard de 10 ans sur Microsoft.
Il manquerait à Apple ce que Microsoft a mis en place il y a 10 ans, créer de solides équipes totalement dédiées à la sécurité de Mac OS X, qui soient proactives et réactives à toute menace et puisse intervenir d'urgence via des mises à jour. Il va s'agir également d'aller régulièrement éplucher les codes afin d'y chercher des failles potentielles ou trouver le moyen de combler celles exploitées.

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.
Heureusement, à cause de ces politiques commerciales Apple va certainement prendre très vite les mesures nécessaires pour tout faire afin de sécuriser au mieux son OS. La société a quand même un énorme atout dans ses cartes, le fait d'utiliser un noyau Unix qui a déjà été éprouvé depuis plus de 20 ans. D'autres mesures ont aussi été prises. Adobe gère maintenant directement les mises à jour Flash et Oracle a annoncé qu'il en ferait de même avec les mises à jour Java, ce qui permet une réactivité très supérieure.
Apple pourra donc se focaliser sur sa partie, les nombreuses composantes greffées au-dessus d'Unix pour en faire Mac OS X. C'est déjà un travail colossal et la philosophie du codage et de la vérification du code vont maintenant changer alors que l'on sait que des pirates sont en embuscade pour traquer et exploiter la moindre faille.
Par Lionel

[r@net54]

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.
Heureusement, à cause de ces politiques commerciales Apple va certainement prendre très vite les mesures nécessaires pour tout faire afin de sécuriser au mieux son OS. La société a quand même un énorme atout dans ses cartes, le fait d'utiliser un noyau Unix qui a déjà été éprouvé depuis plus de 20 ans. D'autres mesures ont aussi été prises. Adobe gère maintenant directement les mises à jour Flash et Oracle a annoncé qu'il en ferait de même avec les mises à jour Java ce qui permet une réactivité très supérieure.
Apple pourra donc se focaliser sur sa partie, les nombreuses composantes greffées au dessus d'Unix pour en faire Mac OS X. C'est déjà un travail colossal et la philosophie du codage et de la vérification du code vont maintenant changer alors que l'on sait que des pirates sont en embuscade pour traquer et exploiter la moindre faille.
Par Lionel

Ce monsieur affirme des choses effectivement dans le sens de son business. Pour autant leurs réalité est tout a fait discutable, d'autant que ce sont toujours les memes arguments qui sont avancés depuis des années sans que la réalité en soit affectée...

Une 1ere chose est certaine: les éditeurs d'antivirus ne gagnent pas d'argent avec MacOS et encore moins avec iOS. Et vu la croissance de ces deux la, ils voudraient évidement en profiter, d'autant que la situation économique est négative.

2) Aucun antivirus ne peut combattre les malware du type trojan, pour la simple raison qu'il s'agit d'un soft qui doit être installé EXPLICITEMENT par l'utilisateur. Evidement une fois qu'un soft de ce type est massivement répandu, les antivirus peuvent l'identifier et l'intercepter, mais cela ne sert pas a grand chose...

3) Il y a eu quelques véritables virus sur MacOS 9, et de rares démonstrations de possibilités sur OS X. Mais aucun cas de virus ne s'est répandu notablement sur OS X.

4) iOS est exempt de virus.

5) L'argument terroriste et commercial développé par les vendeurs d'antivirus est que MacOS était trop marginal pour que les hacker et cybercriminels s'y intéressent. C'est totalement fallacieux:

a) un hacker est motivé par l'exploit, la demonstration, nullement par la quantité de machines présentes. Et hacker un Unix(MacOS X, iOS) est autrement plus valorisant que de "découvrir" une enieme faille dans une passoire comme Windows.
Ignorer cela revient a dire que l'éditeur d'antivirus ne connait rien du hacker...

Les cybercriminels sont motives par le rapport risques+ressources/bénéfices: sachant que les Mac etaitent des machines réputés haut de gammes et de luxes, ils étaient potentiellement plus intéressant que des PC de bases. Seulement OS X est autrement mieux conçu et plus resitant que Windows, donc le bénéfice potentiel est bien plus faible que pour des machines Wintel...
Ignorer cela revient a dire que l'éditeur d'antivirus ne connait rien du cybercriminel...

c) iOS est massivement répandu: toujours pas de menace sérieuse!

d) On trouve sur le net des générateurs de virus et autres malwares a la pelle pour Windows. Ils sont utilisés par les scriptkiddies: ados désoeuvrés en mal de reconnaissance et autres "vandale" du dimanche pour qui bousiller une machine est juste un moyen de se faire remarquer. Certes, ce genre de personnage a moins d'intérêt envers un Mac qu'un PC, mais si de tels générateurs existaient, ils les utiliseraient... hors ils n'y en a pas

e) alors que l'on compte des milliers de réseaux de PC zombies - donc infectes par un malware transformant le PC en relais pour une attaque massive type DDoS - on ne connait que 2 cas de réseaux -tres limités- de Macs datant de plusieurs années de ça.
Pourtant les gens derrière ces infections sont des pro et disposent de moyens considérables (organisations mafieuses, industriels ou militaires). La sous représentation pourrait effectivement expliquer ça s'il n'y avait jamais eu de cas...
De plus, la quantité de machines iOS auraient deja du interresser ce type de criminel, hors ce n'est pas le cas, alors que l'on voit depuis un bout de temps des quelques malwares potentiellement de cette catégorie sur Android et pulluler sur feu Windows Mobile 5 et 6...

6) Les éditeurs d'antivirus ont démontré dans le monde Wintel leur totale inefficacité!
Chaque années les organismes nationaux de sécurité des pays industrialisés publient leurs statistiques concernant les activités cybercriminelles et donc les niveaux d'infections et type d'attaques. Les rapports des agences américaines sont parmi les plus cites et les plus représentatifs. Or chaque années, ces rapports montrent:
- le nombre de PC Windows infectes est en croissance
- le nombre d'attaques massives s'appuyant sur des PC zombie - type DDoS - est en croissance
- les couts économiques pour les états ou les industries lies a ces attaques sont en croissance


7) Si dans le monde des consultants en sécurité informatique on reconnaît qu'Apple a été moins dynamique que Microsoft depuis les 10 dernières années, on constate:
- depuis au moins 3 ans Apple est engagé dans une approche de sécurisation globale, originale et sérieuse
- Apple dispose de bases incomparablement plus solides que Microsoft
- Microsoft fait des audits performant de son code (aujourd'hui) et patch, mais est toujours massivement dans une approche classique - soit avec toujours un coup de retard par rapport aux cybercriminels et aux hackers. L'approche la plus convaincante de Microsoft a été faite avec Vista...
- La technique la plus efficace de lutte contre les virus impliques dans les attaques de masses de type DDoS a été mise en place par Microsoft et consiste a financer des procédures judiciaires visant a démanteler les organisations a l'origine de ces activités...

8) Apple, a la difference de Microsoft, a pour objectif de securiser son ecosysteme en plus des machines. Cela passe par un ensemble d'éléments, de la signature des applications en passant pas les techniques classiques de sandboxing jusqu'à la certification et distribution par les appstore.
De plus Apple remet les éditeurs face a leurs responsabilités: si le logiciel introduit, de par ses fonctions ou sa conception, des failles de sécurités, Apple en désactive l'installation et responsabilise l'utilisateur et l'éditeur: c'est typiquement le cas avec Java ou Flash.

9) Les bases de MacOS et d'iOS suffisent, du moment que l'on en utilise correctement les fonctionnalites, à securiser a un niveau normal les machines (comptes administrateurs et utilisateurs, droits d'accès des fichiers,firewall...)
Apple offre également des systèmes de sauvegardes efficaces, faut il encore les employer.

10) Il existe assez de softs libres et gratuits permettant de monter encore le niveau de sécurité de MacOS qui rendent encore plus inutiles des softs "antivirus" commerciaux, lourds et potentiellement cause de dysfonctionnements: ClamXav, WaterRoof, Trucrypt, GPG, Enigmail...

Au final, on peut regretter qu'Apple dispose d'une communication catastrophique sur la sécurité. Mais cela est dans la tradition de mauvaise communication (euphémisme) d'Apple.
On peut aussi regretter qu'Apple ne soit pas aussi réactive (au moins en apparence) que l'est Microsoft face a une menace mediatiquement identifiée. La aussi c'est une tradition d'Apple.

[SartMatt]

1/ Aucun antivirus ne peut combattre les malware du type trojan, pour la simple raison qu'il s'agit d'un soft qui doit être installé EXPLICITEMENT par l'utilisateur. Evidement une fois qu'un soft de ce type est massivement répandu, les antivirus peuvent l'identifier et l'intercepter, mais cela ne sert pas a grand chose...
2/ iOS est exempt de virus.
3/ L'argument terroriste et commercial développé par les vendeurs d'antivirus est que MacOS était trop marginal pour que les hacker et cybercriminels s'y intéressent. C'est totalement fallacieux
4/ un hacker est motivé par l'exploit, la demonstration, nullement par la quantité de machines présentes. Et hacker un Unix(MacOS X, iOS) est autrement plus valorisant que de "découvrir" une enieme faille dans une passoire comme Windows.
5/ iOS est massivement répandu: toujours pas de menace sérieuse!
6/ alors que l'on compte des milliers de réseaux de PC zombies - donc infectes par un malware transformant le PC en relais pour une attaque massive type DDoS - on ne connait que 2 cas de réseaux -tres limités- de Macs datant de plusieurs années de ça
7/ Or chaque années, ces rapports montrent:
- le nombre de PC Windows infectes est en croissance
- le nombre d'attaques massives s'appuyant sur des PC zombie - type DDoS - est en croissance
8/ depuis au moins 3 ans Apple est engagé dans une approche de sécurisation globale, originale et sérieuse
9/ Microsoft fait des audits performant de son code (aujourd'hui) et patch, mais est toujours massivement dans une approche classique - soit avec toujours un coup de retard par rapport aux cybercriminels et aux hackers.
10/ De plus Apple remet les éditeurs face a leurs responsabilités: si le logiciel introduit, de par ses fonctions ou sa conception, des failles de sécurités, Apple en désactive l'installation et responsabilise l'utilisateur et l'éditeur: c'est typiquement le cas avec Java ou Flash.
11/ Les bases de MacOS et d'iOS suffisent, du moment que l'on en utilise correctement les fonctionnalites, à securiser a un niveau normal les machines (comptes administrateurs et utilisateurs, droits d'accès des fichiers,firewall...)
12/ Il existe assez de softs libres et gratuits permettant de monter encore le niveau de sécurité de MacOS qui rendent encore plus inutiles des softs "antivirus" commerciaux, lourds et potentiellement cause de dysfonctionnements: ClamXav, WaterRoof, Trucrypt, GPG, Enigmail...

1/ C'est faux. Un trojan non reconnu par la base de signatures peut être reconnu comme potentiellement dangereux, en se basant sur une analyse heuristique (étude du comportement du logiciel pendant qu'il s'exécute).
Par exemple, un keylogger a toutes les chances d'être détecté même s'il n'est pas connu.
Idem pour un logiciel qui irait planquer des entrées au fin fond de la base de registre, ou qui essayerait d'aller modifier des fichiers systèmes...

Ensuite, quand bien même le malware est détecté uniquement par signature une fois qu'il a contaminé un certain nombre de machines, pourquoi à partir de là l'anti-virus ne sert plus à grand chose ? Les malware les plus répandus de l'histoire ont à peine dépassé 10 millions de postes infectés, sur plus d'1 milliard d'ordinateurs. Donc même quand un malware est déjà très répandu, il y a TOUJOURS beaucoup plus de machines infectables (donc à protéger) que de machines infectées.

2/ Exempt de virus, mais pas forcément exempt de faille qui auraient pu être exploités malicieusement et faire très mal... L'exemple classique étant la faille JailbreakMe : elle permettait de jailbreaker l'appareil sans intervention de l'utilisateur, simplement en visitant une certaine page.
Et qui dit jailbreak dit droits root. Et qui dit droit root dit possibilité de faire du très malicieux...
Un simple lien bien placé sur un forum fréquenté aurait pu briquer bon nombre d'iPhone si quelqu'un avait voulu le faire...
L'absence de virus, iOS la doit beaucoup à son écosystème ultra-fermé, pas à sa sécurité intrinsèque.

3/ Pourtant, les faits montrent qu'avec le temps, plus OS X devient populaire, plus il est victime d'attaques... Et pourtant, c'est pas parce que l'OS devient moins sécurisé (au contraire, il l'est de plus en plus).
Il n'y a que les fanatiques qui ne comprennent pas ça, car même Apple l'a compris, admettant implicitement qu'OS X est vulnérable en commençant à intégrer un anti-malware dans OS X...

4/ Et justement, à la conférence Pwn2own, Charlie Miller a plusieurs années de suite réussi à hacker OS X... alors qu'à ces mêmes conférences, certaines années personne n'avait trouvé de solution pour Windows...
Accessoirement, hacker un Unix, c'est pas exceptionnel hein... Dans le monde des serveurs, les machines Unix et Linux sont régulièrement compromises...

5/ Parce que iOS est bien plus sécurisé (enfin plutôt verrouillé, c'est pas de la sécurité intrinsèque) qu'OS X, et parce qu'en face d'iOS, il y a un OS à la fois bien plus répandu et moins verrouillé (Android, très ouvert, mais du coup plus vulnérable)...

Alors que dans le monde des ordinateurs, OS X n'est pas plus sécurisé (plutôt moins, même si je chiffrerais plus ça à trois ou quatre ans de retard qu'à dix ans... faut pas exagérer, dix ans c'était la première version de Windows XP, qui était une vraie passoire, y avait même pas de firewall à l'époque), et en plus, bon nombre de ses utilisateurs sont insouciants, pour ne pas dire inconscients... Et ça, c'est LA plus grosse faille de sécurité. Aujourd'hui sous Windows, il suffit que l'utilisateur ne soit pas insouciant pour que sa machine soit quasi impossible à infecter.
Y a un moment où faut arrêter la méthode Coué, elle n'a JAMAIS fait ses preuves en sécurité informatique, ce sont aux contraires souvent ceux qui sont le plus persuadés d'être en sécurité qui s'en prennent le plus dans la gueule...

6/ T'as pas entendu parler de Flashback ces dernières semaines ?
Avec 600 000 machines Mac infectées, ce botnet a atteint un taux de pénétration dans le parc Mac équivalent à ceux des botnet du top 10 sous Windows...

7/ Ce qui ne veut pas dire que les anti-virus sont inefficaces...
Pour juger de l'efficacité ou non des anti-virus, il ne faut pas regarder juste la croissance du nombre d'infection, mais comparer les taux d'infections entre le parc avec anti-virus et le parc sans anti-virus... S'il est supérieur dans le parc de machines sans anti-virus, c'est que les anti-virus sont efficaces (efficace, ça ne vaut pas dire invulnérable hein... de même qu'un vaccin, aussi efficace soit-il, ne garantira jamais une immunité à 100%).

8/ T'es sérieux quand tu dis ça ?
Apple traine toujours autant la patte qu'avant quand il s'agit de propager les correctifs de sécurité des nombreux composants open-source sur lesquels est construit Mac OS X... On l'a encore vu récemment avec Flashback.
Leur seule approche "originale" de la sécurité, c'est de verrouiller et de contrôler de plus en plus les machines... Mais je pense que le but là, c'est surtout de tout faire passer par eux pour prendre leur com au passage, sous couvert de mesure de sécurité...

9/ C'est faux. Les failles 0-day sont devenues rares sous Windows, même s'il y en a toujours, c'est inévitable. Quasiment toutes les grosses infections de ces dernières années exploitaient d'ailleurs des failles déjà corrigées, sur des machines qui n'avaient pas été à jour (notamment parce que beaucoup de gens qui ont un Windows tombé du camion n'appliquent pas les mises à jour... alors que Microsoft a pris la décision, pour des raisons de sécurité, de ne pas bloquer les mises à jour pour les versions pirates, même si elles sont clairement identifiées comme telles). Se tenir à jour est particulièrement important, car justement, c'est souvent en analysant les différences entre les binaires originaux et les binaires patchés que les "pirates commerciaux" trouvent les failles et les moyens de les exploiter... Et c'est là qu'il y a un énorme souci avec Apple : dans le monde de l'open-source, exploiter une faille connue est très facile, grâce à l'accès au code source. Et comme Apple met toujours des mois à propager les correctifs des composants open-source, il suffit de suivre les changelog de ces composants pour repérer les correctifs de failles de sécurité et aller ensuite exploiter ces failles sur Mac... Pour l'anecdote, c'est comme ça qu'a procédé Charlie Miller pour corrompre Mac OS X plusieurs années de suite au Pwn2own... Les mises à jour est encore plus important dans l'open source que dans le propriétaire...

10/ Ah bon, Apple a désactivé Java ? C'est pourtant par Java qu'est passé Flashback, parce que Apple n'avait pas déployé le correctif de sécurité fourni depuis plusieurs mois par Oracle...

11/ Idem sous Windows... Mais quand tu vois que sous OS X, le firewall n'est même pas activé par défaut, y a de quoi se poser des questions... Les sécurité de base devraient être activées par défaut.
Et le firewall d'OS X ne permet même pas le contrôle des flux sortant. En 2012, c'est assez dingue quand même (enfin pour être précis, il le permet, mais que en ligne de commande).

12/ Pareil sous Windows...

Ce message a été modifié par SartMatt - 30 Apr 2012, 09:29.

[r@net54]

2/ Exempt de virus, mais pas forcément exempt de faille qui auraient pu être exploités malicieusement et faire très mal... L'exemple classique étant la faille JailbreakMe : elle permettait de jailbreaker l'appareil sans intervention de l'utilisateur, simplement en visitant une certaine page.
Et qui dit jailbreak dit droits root. Et qui dit droit root dit possibilité de faire du très malicieux...
Un simple lien bien placé sur un forum fréquenté aurait pu briquer bon nombre d'iPhone si quelqu'un avait voulu le faire...
L'absence de virus, iOS la doit beaucoup à son écosystème ultra-fermé, pas à sa sécurité intrinsèque.

3/ Pourtant, les faits montrent qu'avec le temps, plus OS X devient populaire, plus il est victime d'attaques... Et pourtant, c'est pas parce que l'OS devient moins sécurisé (au contraire, il l'est de plus en plus).
Il n'y a que les fanatiques qui ne comprennent pas ça, car même Apple l'a compris, admettant implicitement qu'OS X est vulnérable en commençant à intégrer un anti-malware dans OS X...

4/ Et justement, à la conférence Pwn2own, Charlie Miller a plusieurs années de suite réussi à hacker OS X... alors qu'à ces mêmes conférences, certaines années personne n'avait trouvé de solution pour Windows...
Accessoirement, hacker un Unix, c'est pas exceptionnel hein... Dans le monde des serveurs, les machines Unix et Linux sont régulièrement compromises...

5/ Parce que iOS est bien plus sécurisé (enfin plutôt verrouillé, c'est pas de la sécurité intrinsèque) qu'OS X, et parce qu'en face d'iOS, il y a un OS à la fois bien plus répandu et moins verrouillé (Android, très ouvert, mais du coup plus vulnérable)...

Alors que dans le monde des ordinateurs, OS X n'est pas plus sécurisé (plutôt moins, même si je chiffrerais plus ça à trois ou quatre ans de retard qu'à dix ans... faut pas exagérer, dix ans c'était la première version de Windows XP, qui était une vraie passoire, y avait même pas de firewall à l'époque), et en plus, bon nombre de ses utilisateurs sont insouciants, pour ne pas dire inconscients... Et ça, c'est LA plus grosse faille de sécurité. Aujourd'hui sous Windows, il suffit que l'utilisateur ne soit pas insouciant pour que sa machine soit quasi impossible à infecter.
Y a un moment où faut arrêter la méthode Coué, elle n'a JAMAIS fait ses preuves en sécurité informatique, ce sont aux contraires souvent ceux qui sont le plus persuadés d'être en sécurité qui s'en prennent le plus dans la gueule...

6/ T'as pas entendu parler de Flashback ces dernières semaines ?
Avec 600 000 machines Mac infectées, ce botnet a atteint un taux de pénétration dans le parc Mac équivalent à ceux des botnet du top 10 sous Windows...

7/ Ce qui ne veut pas dire que les anti-virus sont inefficaces...
Pour juger de l'efficacité ou non des anti-virus, il ne faut pas regarder juste la croissance du nombre d'infection, mais comparer les taux d'infections entre le parc avec anti-virus et le parc sans anti-virus... S'il est supérieur dans le parc de machines sans anti-virus, c'est que les anti-virus sont efficaces (efficace, ça ne vaut pas dire invulnérable hein... de même qu'un vaccin, aussi efficace soit-il, ne garantira jamais une immunité à 100%).

8/ T'es sérieux quand tu dis ça ?
Apple traine toujours autant la patte qu'avant quand il s'agit de propager les correctifs de sécurité des nombreux composants open-source sur lesquels est construit Mac OS X... On l'a encore vu récemment avec Flashback.
Leur seule approche "originale" de la sécurité, c'est de verrouiller et de contrôler de plus en plus les machines... Mais je pense que le but là, c'est surtout de tout faire passer par eux pour prendre leur com au passage, sous couvert de mesure de sécurité...

9/ C'est faux. Les failles 0-day sont devenues rares sous Windows, même s'il y en a toujours, c'est inévitable. Quasiment toutes les grosses infections de ces dernières années exploitaient d'ailleurs des failles déjà corrigées, sur des machines qui n'avaient pas été à jour (notamment parce que beaucoup de gens qui ont un Windows tombé du camion n'appliquent pas les mises à jour... alors que Microsoft a pris la décision, pour des raisons de sécurité, de ne pas bloquer les mises à jour pour les versions pirates, même si elles sont clairement identifiées comme telles). Se tenir à jour est particulièrement important, car justement, c'est souvent en analysant les différences entre les binaires originaux et les binaires patchés que les "pirates commerciaux" trouvent les failles et les moyens de les exploiter... Et c'est là qu'il y a un énorme souci avec Apple : dans le monde de l'open-source, exploiter une faille connue est très facile, grâce à l'accès au code source. Et comme Apple met toujours des mois à propager les correctifs des composants open-source, il suffit de suivre les changelog de ces composants pour repérer les correctifs de failles de sécurité et aller ensuite exploiter ces failles sur Mac... Pour l'anecdote, c'est comme ça qu'a procédé Charlie Miller pour corrompre Mac OS X plusieurs années de suite au Pwn2own... Les mises à jour est encore plus important dans l'open source que dans le propriétaire...

10/ Ah bon, Apple a désactivé Java ? C'est pourtant par Java qu'est passé Flashback, parce que Apple n'avait pas déployé le correctif de sécurité fourni depuis plusieurs mois par Oracle...

11/ Idem sous Windows... Mais quand tu vois que sous OS X, le firewall n'est même pas activé par défaut, y a de quoi se poser des questions... Les sécurité de base devraient être activées par défaut.
Et le firewall d'OS X ne permet même pas le contrôle des flux sortant. En 2012, c'est assez dingue quand même (enfin pour être précis, il le permet, mais que en ligne de commande).

12/ Pareil sous Windows...

Tu interprètes et tu generalises le cas de FlashFake/FlashBack( enfin peu importe comment l'on dénomme les variantes) pour induire un sentiment de vulnérabilité aux virus d'OS X supérieur a Windows, ce qui est faux.
Il s'agit d'un trojan bien maquille et exploitant en plus une faille Java.
Il s'est répandu parce que l'utilisateur a cliqué sur ok quand il lui a demande de s'installer. C'est le comportement de n'importe quel trojan, et malgré ce que tu affirmes sur l'approche heuristique, aucun antivirus existant n'aurait pu le bloquer avant qu'il n'ai été identifié...

Cela est d'autant plus remarquable, qu'on en fait des choux gras concernant MacOS, mais que la faille en question est similaire( et exploitée) sur Windows et Unix et qu'il suffit d'un script python pour l'exploiter, dont une nouvelle version ciblant tous les OS, est en cours de propagation.
La veritable honte a ce niveau, c'est que Apple ne pense pas qu'il soit utile de patcher les version d'OS X < 10.6. Un peu la meme connerie que la faille PDF sur iOS qui n'a été patche que sur les version >4...
Le virus chez Apple c'est l'obsolescence programmée...

De toutes manière, Java est une faille de sécurité dans un OS, n'importe lequel, du moment qu'il n'est pas gèré par un utilisateur formé, ce n'est pas nouveau.
Te souviens tu du nombre de saloperies qui étaient développées a partir de Java dans les smartphones, notamment sous Windows Mobile?
Ce n'est pas parce que le TNT peut être utile dans certains cas qu'on doit en donner a tout le monde!
Et pour info, Apple a desactive l'installation automatique de Java dans Lion (et il me semble depuis SL)...

Dans le style trojan, je ne parlerai meme pas des cas sous Windows qui sont légions, mais il suffit de juste considérer les applications crackees disponibles un peu partout sur le Net. A commencer par la fameuse et fumeuse version iWork ou MS Office ou encore Photoshop contenant un vrai malware.
Evidement, l'utilisateur, stupide s'il en est, qui installe ça sur son ordinateur, que ce soit un Mac ou un PC c'est pareil, contourne toutes les protections possibles.
Faut t'il pour autant empêcher l'utilisateur d'installer une application sur son ordi?
Quelle alternative?

La réponse d'Adobe par exemple avec le cas de Flash(champion toute catégorie des malwares), c'est les updates silencieux et automatiques.
Ok, on a la une nouvelle jolie faille de sécurité, car lorsque la faille réputée 0-day aura été publiée, n'importe qui pourra alors installer ce qu'il veut sans que l'utilisateur se rende compte de quoi que ce soit.

Apres, ce sont toujours les memes qui sont les bons candidats au trimbalage de failles: Flash, Acrobat, word, Excel, loin devant Java, Windows, MacOS, Linux, Un*x, FreeBsd ou OpenBSD.
Un petit PDF bien ficelé et hop prise de contrôle du PC...

Pour considérer l'efficacité de l'antivirus tu prônes une méthode "scientifique" d'évaluation entre des parcs sans antivirus et des parcs avec antivirus et de voir le taux d'infection sur les deux. C'est valable en théorie, mais c'est faux en pratique. Tous les PC Windows complets de la planète sont vendus avec un antivirus. Tous les PC d'entreprises sont censés être "sécurises" par l'administrateur... Or constatation faite, malgré une présence quasi systématique les antivirus ne marchent pas, il y a de plus en plus d'infections sur le PC.

Tu veux faire un parallèle avec le vaccin.
Ok un vaccin a un taux de protection variable et on ne peut donc pas garantir que tous les individus vaccines seront immunises, loin de la, je suis d'accord. Mais la vaccination n'est pas une protection de l'individu mais de la population. On estime qu'un vaccin fonctionne quand il empêche la propagation d'une épidémie (si je me souviens bien il suffit qu'un taux de 1/5 individus soit immunises pour enrayer le risque épidemique). Bref ce qui démontre l'efficacité du vaccin (en rapport pondéré du risque que fait courir le vaccin) c'est l'arrêt de l'épidémie et jusqu'à sa disparition.

Si on applique la meme approche aux antivirus sur la population de PC, on voit clairement la croissance des épidémies!
Les antivirus ne sont donc pas efficaces.

De plus quand je dis qu'une fois un malware identifie, recourir a l'antivirus est assez inutile, c'est dans le cas d'un OS, comme OS X, disposant d'un système de barrage base sur les signatures. L'antivirus ne fera pas mieux que l'OS et on aura donc une fonction inutile consommant des ressources toujours inutilement.
Idem dans le cas d'un virus, une fois la faille bouchée, le virus ne peut plus rien faire et il devient alors aussi inefficace que l'antivirus.
Néanmoins, on peut toujours installer un antivirus libre comme ClamXav, il fera aussi bien que les antivirus commerciaux pour beaucoup moins cher et au moins on est certain qu'il ne sera pas obsolète...

Quand tu dis que les failles 0-days sont rares sous Windows, c'est faux, du moins en partie.
Pour cela j'imagine que tu te bases sur la réactivité de Microsoft plus grande qu'avant pour combler les failles dés leurs publications. Ce qui est vrai, Microsoft a fait de sacres progrès dans ce sens(faut dire qu'ils partaient de loin).
Maintenant le code de Windows est tellement énorme et "approximatif" , avec des des pans entiers encore hérites de vielles versions, que les failles identifiées on en voit régulièrement (la dernière mediatisee couvrait au moins 3 générations de Windows ), plusieurs ont été identifiees depuis le début d'année, sans parler de la gabegie de Duqu qui a fait sensation en 2011...

Et au dela de ça, il y a les failles non divulguées qui peuvent être exploitées pour des infections dormantes et contre lesquelles les antivirus et politique de patch ne peut, par définition, rien a priori. T'imagines bien que si des gars comme les tetes de Vupen se font une renomee et de l'argent avec le business de la recherche de failles, ils sont pas les seuls compétents dans le domaine et que d'autres, ayant des motivations différentes, ne vont pas communiquer leurs trouvailles aux éditeurs d'OS...

Un exemple, tout a fait de fiction, hein.
Prenons une organisation criminelle, disons basée a l'est de l'europe.
Elle dispose d'ingénieurs de haut niveau qui passent leur temps a auditer le code des OS et des applications pour trouver des failles.
Ils trouvent 2 failles, une complexe et une simple.
Ils construisent un virus avec la complexe.
Ensuite ils font chanter quelques entreprises, genre "si vous payez pas on vous infecte", avec un tarif irraisonnable.
Les entreprises, ne payent pas et se retrouvent infectees par le nouveau virus, qui va vivre alors sa vie de virus...
La faille va être patchee dans les temps suivants.
Et la l'organisation va contacter un ensemble d'entreprises réellement intéressantes et leurs refaire le coup mais avec un tarif plus raisonnable.
Que vont faire les entreprises: payer et généralement sans rien dire aux autorités.
Meme pas besoin de relancer l'attaque, le facteur psychologique suffira... jusqu'à ce que l'effet s'épuise et la ils lancent vraiment l'attaque.
Pourquoi ils vont utiliser la faille complexe en premier? Pour une simple raison de psychologie: la majorité des acteurs pensera que la nouvelle faille sera du même niveau de complexité et va demander du temps pour être trouvée et demandera du temps pour faire un pacth, + temps = + degats...
Que peut faire un antivirus contre ça: rien.

Maintenant, en ce qui concerne l'opensource. Oui il y a des failles dans les codes ouverts. Oui il est plus facile d'identifier une faille dans du code ouvert. Oui il est important de mettre a jour ce code opensource des que disponible. Oui Apple peut mieux faire a ce sujet.
Par contre, comme le code est ouvert, garder une faille secrete va être bien plus difficile que dans du code propriétaire.
De meme mettre a jours un code ouvert est bien plus facile et moins onéreux qu'un code propriétaire.
De plus Apple utilise généralement des codes sources ouvert mais modifies dans ses OS, on l'a vu avec le moteur javascript dans Safari... Ca peut certes introduire de nouvelles failles, mais ça permet aussi d'éviter d'en trainer d'autres...

[AlbertRaccoon]

Tu interprètes et tu generalises le cas de FlashFake/FlashBack( enfin peu importe comment l'on dénomme les variantes) pour induire un sentiment de vulnérabilité aux virus d'OS X supérieur a Windows, ce qui est faux.
Il s'agit d'un trojan bien maquille et exploitant en plus une faille Java.
Il s'est répandu parce que l'utilisateur a cliqué sur ok quand il lui a demande de s'installer. C'est le comportement de n'importe quel trojan, et malgré ce que tu affirmes sur l'approche heuristique, aucun antivirus existant n'aurait pu le bloquer avant qu'il n'ai été identifié...

Il me semble qu'il y a eu une ou plusieurs versions de Flashback qui s'installaient même si tu cliquais sur "Annuler".

Cela est d'autant plus remarquable, qu'on en fait des choux gras concernant MacOS, mais que la faille en question est similaire( et exploitée) sur Windows et Unix et qu'il suffit d'un script python pour l'exploiter, dont une nouvelle version ciblant tous les OS, est en cours de propagation.

Source ? A priori, la faille a été comblée sur Windows en février.

Evidement, l'utilisateur, stupide s'il en est, qui installe ça sur son ordinateur, que ce soit un Mac ou un PC c'est pareil, contourne toutes les protections possibles.
Faut t'il pour autant empêcher l'utilisateur d'installer une application sur son ordi?
Quelle alternative?

Tu n'as pas lu ce qu'a écrit SartMatt ? C'est tout le but de la détection heuristique : si un programme a un comportement bizarre (rajouter des lancements automatiques à des endroits incongrus, par exemple), l'antivirus peut le signaler à l'utilisateur. Il n'empêche pas l'installation si l'utilisateur le veut vraiment, mais au moins, il le prévient (avec risques de faux positifs, bien sûr).

La réponse d'Adobe par exemple avec le cas de Flash(champion toute catégorie des malwares), c'est les updates silencieux et automatiques.
Ok, on a la une nouvelle jolie faille de sécurité, car lorsque la faille réputée 0-day aura été publiée, n'importe qui pourra alors installer ce qu'il veut sans que l'utilisateur se rende compte de quoi que ce soit.

Les updates silencieux et automatiques ne sont pas obligatoires. Depuis que ce mécanisme a été ajouté, on a aussi la possibilité de préférer un simple système d'alerte ou encore de garder un comportement manuel sur les mises à jour.

Si on applique la meme approche aux antivirus sur la population de PC, on voit clairement la croissance des épidémies!
Les antivirus ne sont donc pas efficaces.

Pas d'accord. Il y a eu moins d'épidémies ces dernières années qu'au début du siècle.

De plus quand je dis qu'une fois un malware identifie, recourir a l'antivirus est assez inutile, c'est dans le cas d'un OS, comme OS X, disposant d'un système de barrage base sur les signatures. L'antivirus ne fera pas mieux que l'OS et on aura donc une fonction inutile consommant des ressources toujours inutilement.
Idem dans le cas d'un virus, une fois la faille bouchée, le virus ne peut plus rien faire et il devient alors aussi inefficace que l'antivirus.

Encore une fois, tu oublies les mécanismes de détection avancés. Et accessoirement, tu oublies également que le délai de mise à jour des signatures de l'anti-malware d'OSX est en général bien plus long que celui des antivirus.

[r@net54]

Il me semble qu'il y a eu une ou plusieurs versions de Flashback qui s'installaient même si tu cliquais sur "Annuler".

Soit on a un dialogue émis par le système non encore corrompu et il s'agit du vrai dialogue et lorsqu'on clique sur Annuler cela refuse de passer en mode administrateur et la impossible d'installer quoique ce soit dans les dossiers système.
Soit on a un fake, qui visent a installer le code de toute façon (a quoi cela peut donc servir?) et alors on ne peut installer le code que dans l'espace utilisateur. On est sur Unix la, les sessions disposent de véritables droits d'accès, c'est pas du cosmétique.
Derniere possibilité, il s'agit d'un dialogue pour récupérer le nom et le code administrateur, mais la aussi il faut que l'utilisateur les entre volontairement.

Apres il reste le cas d'une faille permettant une escalade de droits, mais dans ce cas nul besoin d'afficher un dialogue de ce type. En plus cela ferait suspecter rapidement un problème.

Ca vaut pour tout les trojans, a la différence du virus qui s'installe sans intervention de l'utilisateur.

Source ? A priori, la faille a été comblée sur Windows en février.

Effectivement le patch pour Windows a été publie aux environs du 14. Mais de nouvelles variantes du code sont en train de sortir, notamment sous forme de script pythons embarque.
On va voir l'ampleur que cela prends dans les semaines a venir...

Tu n'as pas lu ce qu'a écrit SartMatt ? C'est tout le but de la détection heuristique : si un programme a un comportement bizarre (rajouter des lancements automatiques à des endroits incongrus, par exemple), l'antivirus peut le signaler à l'utilisateur. Il n'empêche pas l'installation si l'utilisateur le veut vraiment, mais au moins, il le prévient (avec risques de faux positifs, bien sûr).

Les heuristiques de détection sont une chose, qui utilise un modèle théorique d'infection et de propagation par rapport auquel on détermine des comportements potentiels de risques et que l'on pondère afin de déterminer s'il s'agit d'une vrai attaque ou d'un comportement normal.
En pratique elles fonctionnent tellement mal que ces fonctions sont désactivées rapidement.

Ce que cite SartMatt, dans sa derniere intervention est une avant-realistation d'un système autoverifiant dans lequel tous les composants ont un code qui permet de vérifier s'ils sont corrompus ou pas. C'est totalement different mais complémentaire. Mais la aussi, le problème c'est que pour être efficace cette solution doit être intrinsèque a l'OS, car les antivirus qui tentent de réaliser cette approche n'ont qu'un échantillonnage des composants a un instant donné et ne peuvent prendre en compte la totalité de l'évolution du système (ce qui ne doit pas changer, ce qui doit changer et dans quelle mesure).

De son cote Apple est en train de développer un système autoverifiant ou tous est signé. Les contraintes que l'on perçoit aujourd'hui comme l'impossibilité d'installer des éléments dans les dossiers autres qu'utilisateurs font parti de cette mise en oeuvre. De même le fait de limiter le type de soft aux seules applications va dans le meme sens.

Les updates silencieux et automatiques ne sont pas obligatoires. Depuis que ce mécanisme a été ajouté, on a aussi la possibilité de préférer un simple système d'alerte ou encore de garder un comportement manuel sur les mises à jour.

S'ils ne sont pas obligatoires mais activés par défaut, cela ne change pas le fait qu'ils soient une faille potentiellement énorme en terme de sécurité.
Activés et corrompus, ces systèmes permettent une installation de malware sournoise et invisible...
Si l'utilisateur est capable de désactiver l'option alors il est capable d'en comprendre la signification, ou alors j'ai rien compris de l'intention de ce type de mesure.

Si on applique la meme approche aux antivirus sur la population de PC, on voit clairement la croissance des épidémies!
Les antivirus ne sont donc pas efficaces.

Pas d'accord. Il y a eu moins d'épidémies ces dernières années qu'au début du siècle.
va donc sur des sites un peu plus fiables:
http://www.ic3.gov
http://www.fbi.gov
Pour info en 1995 on avait 2340 rapports d'incidents (exploits réseau, os ou d'applications) professionnels et en 2007 on en était a 344786 et la tendance est a l'augmentation toujours selon la meme courbe de croissance, avec néanmoins un lever infléchissement en 2010 (effet iPad ? )...
L'attaque la plus couteuse pour l'économie est le DDoS qui coutait deja 26 milliard de $ en 2004 et dont la croissance est du meme ordre. Les machines les plus infectes et servant de grappe lors des attaquent coordonnées sont des PC windows. Ce n'est pas pour rien que Microsoft engage des milliards de dollars en actions policières pour tenter d'affaiblir ces réseaux de PC zombies. Dernier en date le celebre Zeus...

Encore une fois, tu oublies les mécanismes de détection avancés. Et accessoirement, tu oublies également que le délai de mise à jour des signatures de l'anti-malware d'OSX est en général bien plus long que celui des antivirus.

Non je n'oublie rien de tout cela. Ce que constate l'utilisateur c'est que ces systèmes dit "avances" que tu mentionnes lui pourrissent la vie et ce que remarque le pro c'est que l'utilisateur désactive des qu'il le peut ces systèmes.
Quant au délai de publication des patch, il est vrai qu'Apple n'est pas le plus rapide qu'il soit et je suis le premier a déplorer que l'obsolescence programmee prenne le pas sur responsabilité de sécurité.
Ce que je dit également, c'est que prendre face a cette situation un antivirus basique, non intruisif et performant comme ClamXav vaut largement autant que tous les antivirus commerciaux.
Apres, je recommande aussi l'utilisation de softs opensource GPG, Truecrypt, Waterroof, ou encore Carbon Copy Cloner et meme de l'excellent LittleSnitch, mais avant tout il y a deja beaucoup de systèmes de protection sur le Mac, a commencer par les sessions administrateur et utilisateurs et TimeMachine, le firewall d'OS X, et des comportements tout basiques comme de ne pas mettre n'importe quoi telecharge sur des sites douteux...