Apple premier, Windows second, Linux sans objet

  • Article

Ma revue de presse m'indique de nombreux articles rapportant les résultats d'un concours visant à prendre le contrôle d'un poste sous différents systèmes d'exploitation. Le grand gagnant est un MacBook Air d'Apple sous MacOS qui est tombé plus rapidement qu'un poste Fujitsu sous Windows Vista équipé du service pack 1 tandis que le Sony Vaio sous Ubuntu 7.1 a résisté.

Quelques précisions sont nécessaires, au-delà de la première impression que pourraient donner ces conclusions :

La première règle imposée était de n'utiliser que des attaques à distance. Dans ce mode, aucun des ordinateurs n'a été compromis pendant la première journée du concours ; ce qui prouve que le niveau par défaut a considérablement progressé.

Dans cet échec, les organisateurs du concours ont accepté que des actions soient réalisées sur le poste comme une navigation sur un site hostile. C'est par ce biais que Safari est tombé, mais pas Internet Explorer, ni Windows Mail.

En assouplissant les règles du concours, il a été autorisé d'exploiter les failles de composants qui ne faisaient pas partie du système d'exploitation de base et c'est là que le poste sous Windows a succombé "grâce" à un composant additionnel. Les articles lus parlent de Flash Player, mais ce composant n'est pas le seul en cause. En effet, dans une page simple, Flash est soumis à ce que l'on peut lire sous le sigle de LoRIE (pour Low Right Internet Explorer) qui évite une élévation de privilèges.

De manière globale, cette démonstration rejoint mon sentiment actuel que, maintenant que le système est moins vulnérable, les failles potentiellement exploitables par des virus seront au niveau des composants additionnels que l'on peut trouver sur une grande quantité d'ordinateurs. Aussi est-il absolument nécessaire de mettre à jour rapidement tous ces composants comme les lecteurs multimédia, runtimes de langage de développement et autres barre d'outils !

Quelques liens évoquant ce concours.
En fançais :
https://www.zdnet.fr/actualites/informatique/0,39040745,39380091,00.htm
En anglais :
https://www.infoworld.com/article/08/03/31/Linux-unbeaten-in-hacking-contest_1.html