Sécurité: Apple aurait 10 ans de retard sur Microsoft, Réactions à la publication du 30/04/2012

[Lionel]

Dans une interview, Eugene Kaspersky, fondateur de la société antivirus du même nom, n'a pas été tendre avec Apple.
Il considère en effet que le développement de logiciels malveillants n'est pas plus compliqué sur Mac que sur PC et, encore plus dur, annonce qu'Apple aurait dans le domaine de la sécurité un retard de 10 ans sur Microsoft.
Il manquerait à Apple ce que Microsoft a mis en place il y a 10 ans, créer de solides équipes totalement dédiées à la sécurité de Mac OS X, qui soient proactives et réactives à toute menace et puisse intervenir d'urgence via des mises à jour. Il va s'agir également d'aller régulièrement éplucher les codes afin d'y chercher des failles potentielles ou trouver le moyen de combler celles exploitées.

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.
Heureusement, à cause de ces politiques commerciales Apple va certainement prendre très vite les mesures nécessaires pour tout faire afin de sécuriser au mieux son OS. La société a quand même un énorme atout dans ses cartes, le fait d'utiliser un noyau Unix qui a déjà été éprouvé depuis plus de 20 ans. D'autres mesures ont aussi été prises. Adobe gère maintenant directement les mises à jour Flash et Oracle a annoncé qu'il en ferait de même avec les mises à jour Java, ce qui permet une réactivité très supérieure.
Apple pourra donc se focaliser sur sa partie, les nombreuses composantes greffées au-dessus d'Unix pour en faire Mac OS X. C'est déjà un travail colossal et la philosophie du codage et de la vérification du code vont maintenant changer alors que l'on sait que des pirates sont en embuscade pour traquer et exploiter la moindre faille.
Par Lionel

[El Bacho]

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.

Quand est-ce qu'Apple a vanté pour la dernière fois son infaillibilité ? Je crois que c'était lors des pubs Mac et PC, à l'époque de Vista. Et encore, c'était moins une question d'infaillibilité (théorique) que de comparaison du nombre de virus et de programmes parasites divers en circulation.

La page sécurité de Mac OS X Lion décrit les initiatives prises pour protéger les Macs et se veut évidemment très rassurante, mais elle ne suggère absolument pas que le système soit infaillible :

http://www.apple.com/fr/macosx/what-is/security.html

L'infaillibilité vient surtout d'un excès de confiance de l'utilisateur, et Apple n'en est pas totalement responsable.
L'entreprise, en dehors de n'avoir pas réagi assez vite à certaines attaques virales et autres, a surtout eu le tort de ne pas inciter davantage les utilisateurs à la prudence, de ne pas suggérer assez de précautions.

En tout cas, de mon côté, je suis convaincu que mon système recèle un bon nombre de trous de sécurité et qu'il faut que je me méfie des sites douteux ou des logiciels dont je n'ai jamais entendu parler. Comme c'est le cas avec n'importe quel autre système.

Heureusement, à cause de ces politiques commerciales Apple va certainement prendre très vite les mesures nécessaires pour tout faire afin de sécuriser au mieux son OS. La société a quand même un énorme atout dans ses cartes, le fait d'utiliser un noyau Unix qui a déjà été éprouvé depuis plus de 20 ans. D'autres mesures ont aussi été prises. Adobe gère maintenant directement les mises à jour Flash et Oracle a annoncé qu'il en ferait de même avec les mises à jour Java ce qui permet une réactivité très supérieure.

Unix, ça n'est pas automatiquement un atout, Android c'est du Linux à la base et ça n'empêche pas du tout les malwares.

Java, ça sera au moins jusqu'à la fin de la période de transition vers Oracle un grand talon d'Achille d'OS X. Apple a géré de façon catastrophique les mises à jour de sécurité Java et l'entreprise est pleinement responsable de ses déboires avec Flashback. Les équipes auraient dû accorder une priorité beaucoup plus élevée aux correctifs disponible depuis février, ça aurait suffi à empêcher la contamination d'un grand nombre de machines. Il aura fallu qu'un éditeur russe jusque là inconnu de la communauté Mac donne des chiffres édifiants (mais dont le calcul était au final juste) sur le nombre de machines touchées pour qu'une mise à jour de sécurité sorte quelques jours plus tard.
Et quand la transition sera effectuée, il restera toujours le problème des machines sous Snow Leopard ou en dessous, qui conserveront une JVM signée par Apple installée d'office et qui ne recevront plus forcément de mises à jour de sécurité si Apple s'en tient à sa règle du support maxi de deux ou de trois versions d'OS X.
Ce sont déjà les machines sous SL qui forment l'essentiel des postes infectés par Flashback :

http://arstechnica.com/apple/news/2012/04/...ard-hardest.ars

Là où Kaspersky caricature la situation, c'est surtout qu'il y a quand même de vraies initiatives prises par Apple sur OS X depuis des années, qui vont bien au delà de là où Microsoft en était en 2002. Pas simplement l'abandon de l'installation directe de Flash ou de Java, aussi du côté du sandboxing et de l'ASLR, qui correspondent à un gros travail de refonte du code de l'OS et des applications installées.

http://arstechnica.com/apple/news/2012/04/...d-microsoft.ars

Le problème, c'est surtout le contraste entre les points où ils ont vraiment fait des efforts et ceux où il y a eu au contraire un laisser-aller, comme si tout le monde parmi les ingénieurs n'avait pas intégré la priorité que la sécurité représentait.

[yponomeute]

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.

Quand est-ce qu'Apple a vanté pour la dernière fois son infaillibilité ? Je crois que c'était lors des pubs Mac et PC, à l'époque de Vista. Et encore, c'était moins une question d'infaillibilité (théorique) que de comparaison du nombre de virus et de programmes parasites divers en circulation.

La page sécurité de Mac OS X Lion décrit les initiatives prises pour protéger les Macs et se veut évidemment très rassurante, mais elle ne suggère absolument pas que le système soit infaillible :

http://www.apple.com/fr/macosx/what-is/security.html

L'infaillibilité vient surtout d'un excès de confiance de l'utilisateur, et Apple n'en est pas totalement responsable.

Apple vante son infaillibilité tous les jours sur son site sur la page suivante :

http://www.apple.com/fr/why-mac/better-os/

Une petite perle extraite de la page :

Sans réclamer d'effort de votre part, Mac OS X vous défend contre les virus et autres logiciels malveillants.

Ce n'est pas de l'excès de confiance de l'utilisateur, c'est de la publicité mensongère de la part d'Apple.

Ce message a été modifié par yponomeute - 30 Apr 2012, 09:57.

[Lionel]

Certes, comme toujours certains reprocheront à quelqu'un qui gagne sa vie sur la sécurité ou plutôt l'insécurité de tenir de tels propos, mais il a certainement plus de légitimité que des équipes commerciales qui vantent une infaillibilité illusoire.

Quand est-ce qu'Apple a vanté pour la dernière fois son infaillibilité ? Je crois que c'était lors des pubs Mac et PC, à l'époque de Vista. Et encore, c'était moins une question d'infaillibilité (théorique) que de comparaison du nombre de virus et de programmes parasites divers en circulation.

La page sécurité de Mac OS X Lion décrit les initiatives prises pour protéger les Macs et se veut évidemment très rassurante, mais elle ne suggère absolument pas que le système soit infaillible :

http://www.apple.com/fr/macosx/what-is/security.html

L'infaillibilité vient surtout d'un excès de confiance de l'utilisateur, et Apple n'en est pas totalement responsable.

Apple vante son infaillibilité tous les jours sur son site sur la page suivante :

http://www.apple.com/fr/why-mac/better-os/

Une petite perle extraite de la page :

Sans réclamer d'effort de votre part, Mac OS X vous défend contre les virus et autres logiciels malveillants.

Ce n'est pas de l'excès de confiance de l'utilisateur, c'est de la publicité mensongère de la part d'Apple.

Merci d'avoir donné la réponse à ma place.

[El Bacho]

Apple vante son infaillibilité tous les jours sur son site sur la page suivante :

http://www.apple.com/fr/why-mac/better-os/

Une petite perle extraite de la page :

Sans réclamer d'effort de votre part, Mac OS X vous défend contre les virus et autres logiciels malveillants.

Ce n'est pas de l'excès de confiance de l'utilisateur, c'est de la publicité mensongère de la part d'Apple.

Merci d'avoir donné la réponse à ma place.

Sauf que si on va sur la version US de la même page, voici le passage équivalent :

With virtually no effort on your part, OS X defends against viruses and other malicious applications, or malware.

Deux choses modifiées en français :
- le "virtually", dont l'équivalent est "pratiquement", qui est absent de la V.F.
- le français est approximatif par rapport à l'anglais concernant l'article, ce qui le rend plus catégorique. Pas d'article en anglais au pluriel = l'article indéfini (a, an). "Against viruses" : contre les virus en général, voire juste de certains virus (si on est avocat travaillant pour Apple). Le français a l'article défini, ce qui change la connotation. "Contre les virus" = "contre (tous) les virus.

N.B. 1 : Le paragraphe précédent célèbre encore les qualités de Snow Leopard sur la page française, ce qui me confirme dans l'hypothèse que la traduction française a été faite avec les pieds.

N.B. 2 : C'est une ambiguïté entre le français et l'anglais qui a eu de plus fortes conséquences. La fameuse résolution n° 242 de l'ONU sur les territoires occupés par Israël demande le retrait "des" territoires occupés en français et "de" territoires occupés en anglais. Comme l'anglais et le français ont le même statut à l'ONU (ce qui n'est pas vraiment le cas chez Apple !), il y a un désaccord sur le sens de la résolution qui persiste depuis 45 ans.

Amusant de voir qu'en plein milieu d'un topic sur la sécurité et les précautions à respecter, personne n'ait pensé à faire ce genre de vérifications.



Et une remarque de bon sens au passage : l'utilisateur qui s'en remet à cette affirmation d'Apple pour être certain que le Mac est immunisé contre les virus, il faut d'abord qu'il soit allé la chercher sur le site d'Apple pour la trouver. Ce qui implique un minimum de curiosité et surtout de compétence informatique, qui ne font pas de cet utilisateur la cible rêvée pour les attaques virales...

Ce message a été modifié par El Bacho - 30 Apr 2012, 13:48.

[zero]

- le français est approximatif par rapport à l'anglais concernant l'article, ce qui le rend plus catégorique. Pas d'article en anglais au pluriel = l'article indéfini (a, an). "Against viruses" : contre les virus en général, voire juste de certains virus (si on est avocat travaillant pour Apple). Le français a l'article défini, ce qui change la connotation. "Contre les virus" = "contre (tous) les virus.

Ton explication tant à démontrer l'inverse. Le français est plus précis par rapport à l'anglais, ce qui le rend plus catégorique. (après, si on omet des mots ou on traduit mal, c'est une autre histoire.)
Et puis, tu te trompes sur ce point, par exemple : "Contre les virus" = "Contre les virus en général" (donc pas tous les virus).

Ce message a été modifié par zero - 2 May 2012, 01:26.