Linux plus sûr que Windows : Un mythe ou pas? (1) L’exemple des clés USB
Comme je l’avais indiqué dans mon article précédent intitulé “Que penser de la sécurité apportée par un antivirus?“, la sécurité d’une machine dépend grandement de la sécurité apportée par le système d’exploitation lui même (avec ses applications de base) ainsi que des connaissances des utilisateurs.
Cet article s’intéresse aux différences qu’il peut y avoir concernant la sécurité sous deux systèmes d’exploitation Microsoft Windows et GNU/Linux, sur l’exemple précis du branchement d’un périphérique de stockage USB (clé USB, disque dur externe). Le titre est une référence à l’opération de FUD orchestrée par Microsoft auprès des commerciaux de Best Buy dont un des supports de formation indique “Linux is safer than Windows” : “Myth”.
Retour sur l’opération de FUD
Selon Wikipédia, le FUD est une “technique rhétorique utilisée notamment dans la vente, le marketing, les relations publiques et le discours politique” qui “consiste à tenter d’influencer la perception de son audience en disséminant des informations négatives, souvent vagues et inspirant la peur”.
Bref c’est un procédé malhonnête, plutôt du côté de la manipulation et du dénigrement caché. C’est tout simplement le contraire d’une argumentation basée sur des faits objectifs.
Microsoft est plutôt connu pour l’usage répété de ce procédé. On pensera notamment à la campagne publicitaire honteusement nommée Get The Facts. Sinon Tristan Nitot, responsable de Mozilla Europe, rapporte également un autre excellent exemple sur son blog.
Bref, pour en revenir à la campagne en question (liens en début d’article), c’est de la vraie désinformation. Elle contient pas mal de comparaisons malhonnêtes et comme indiquée précédemment, l’une de ces comparaisons laisse sous-entendre que le fait que Linux est plus sûr que Windows serait un mythe. Je reviendrais peut-être d’ailleurs dans un prochain article sur les faiblesse de l’argumentation de Microsoft sur les points choisis par Microsoft (qui sont en eux-même plus qu’insuffisants pour juger de la sûreté d’une machine).
Je pense sincèrement qu’un arrêt du FUD répétitif est une condition plus que nécessaire pour que Microsoft puisse être correctement accepté par la communauté du libre (problématique mentionnée sur un des articles du blog de Philippe Scoffoni).
Brancher une clé de façon sûre sous Microsoft Windows : débutants s’abstenir!
Comme je l’ai indiqué précédemment, la sécurité repose en grande partie sur la connaissance et la conscience des utilisateurs.
Quand un programme est lancé, cela doit soit se faire suite à une “demande” qui précède de la part de l’utilisateur, soit être le résultat prévisible d’une manipulation consciente de l’utilisateur exercée quelque temps auparavant. On conçoit ainsi que des “programmes” indispensables puissent automatiquement être lancés (discrètement ou non) s’ils font parti du système (l’utilisateur a a priori choisi d’utiliser le système, ce n’est pas anormal que l’écran de connexion ou le pare-feu soient lancés automatiquement) ou s’ils résultent d’un choix conscient de paramétrage (on peut par exemple décider de lancer automatiquement une application qui rappelle les rendez-vous).
Or, dans l’esprit d’un utilisateur d’un niveau moyen, brancher une clé USB ne veut certainement pas dire “je suis prêt à lancer le programme sur la clé, peut importe ce qu’il fait”. Souvent d’ailleurs un utilisateur veut pouvoir observer le contenu de la clé (documents, images, textes) sans exécuter le moindre programme.
Cependant, Windows a une très forte tendance à lancer sans le consentement de l’utilisateur tout programme présent sur la clé (que ce soit un utilitaire ou du code malveillant), pour peu que la clé contienne également un fichier spécial (”AUTORUN.INF”, fichier éventuellement caché) qui indique quel programme ouvrir.
Suivant les versions de Microsoft Windows il peut y avoir quelques différences mais dans tous les cas la manipulation pour supprimer totalement la menace est loin d’être une manipulation aisée (en fait il y a plusieurs types d’exécution automatique, se débarrasser de celle liée à la boîte de dialogue ne suffit pas).
Il vous faut en effet vous assurer que le fichier AUTORUN.INF ne sera pas utilisé qu’il soit situé sur une partie de la clé au format CD/DVD ou non (modifications dans le registre, pas pour les débutants) , renoncer à accéder à la clé à l’aide d’un double-clic, ne jamais utiliser l’option de type “Ouvrir le dossier de la clé” / “Ouvrir à l’aide de l’explorateur” car dans les dernières versions de Windows (Vista et peut être Seven) c’est un dialogue qui peut être contrefait (AUTORUN.INF configuré pour afficher la même icône et le même texte qui si c’était une ouverture “normale”), et être très prudent dès qu’un invité non initié s’approche de votre machine. Bref c’est pas la joie…
Pour ceux qui veulent un peu plus de détails, je conseillerais entre autre le numéro 45 du magazine MISC que j’ai survolé en kiosque. À compléter avec au moins trois pages différentes d’un guide du registre (ici celui sur pctools.com), trois autres lectures sur us-cert.gov, une sur cert.org et pleins d’autres lectures que j’oublie tellement l’autorun sous Windows semble avoir des points communs avec l’Hydre de Lerne…
Mal au crâne, pensez GNU/Linux et ça s’arrange tout de suite…
Autorun sous GNU/Linux
Bon tout d’abord un rappel essentiel, LInux ce n’est qu’un noyau de système d’exploitation. Le comportement au final de votre machine dépend de tout ce qu’il y a autour, autrement dit ça dépend de votre distribution (Ubuntu, Fedora, etc.).
À une époque, la mode était de ne même pas proposer le montage de la clé : il fallait le faire manuellement pour accéder à son contenu. Quoiqu’on en dise question simplicité, je préfère ça à Windows… Enfin passons, les temps ont changés et c’est souvent bien plus simple.
La plupart des distributions vous proposent en effet une liste d’actions types lorsque vous branchez votre clé, ce qui est en soit utile. Et dans tous les cas que je connais, aucun programme de la clé n’est lancé par défaut sans un choix préalable de l’utilisateur.
Bref, sur cet exemple la sécurité élémentaire devient tout de suite plus simple…
Conclusion
En conclusion je suis plus que tenté de dire que la campagne de propagande de Microsoft, ce fut du grand n’importe quoi.
Tout d’abord, j’espère en avoir convaincu que la sécurité élémentaire sous Windows n’est pas accessible à l’utilisateur type de niveau moyen. La gestion de l’exécution automatique sur les clés USB est bien entendu un point que Microsoft n’a pas eu idée de mentionner dans sa campagne de FUD auprès de Best Buy.
Mais si l’on veut on peut même aller plus loin : les arguments ciblés, déjà choisis arbitrairement par Microsoft, sont en plus à la fois un tissu de mensonge et de formulations trompeuses.
Peut-être que cela fera l’objet d’un nouvel article dans la série “Linux plus sûr que Windows : Un mythe ou pas?”, mais au cas où que l’envie me manque, je vais évoquer de façon très brève la vérité sur un des points évoqués par Microsoft.
Il est évoqué en parlant de GNU/Linux : “There’s no guaranty that when security vulnerabilities are discovered, an update will be created. Users are on their own.”. Cela signifie que les utilisateurs n’ont aucune garantie de la création d’une mise à jour en cas de vulnérabilité.
Premièrement, et argument qui casse tout : c’est le cas avec Windows. Selon theregister.co.uk, il est connu depuis juillet qu’une faille dans une bibliothèque logicielle Microsoft rend caduque la protection apportée par https et SSL (en gros les pages sécurisés avec “un cadenas”) : les windowsiens utilisateurs d’Internet Explorer, Google Chrome et Safari sont touchés et auront du mal à reconnaître une vrai page d’un phishing bien élaboré. Selon l’article, en date du 5 octobre, la faille (pourtant critique) n’est toujours pas corrigée. Bref, après on se demande comment Microsoft peut parler de sécurité… Et ne pensez pas que les autres exemples manquent…
Au contraire parlons de GNU/Linux, cible de l’attaque de Microsoft : bien qu’il n’y ait aucune “garantie” de création d’une mise à jour, il est évident que dès qu’une vulnérabilité sera connue, une bonne quantité de personnes passionnées s’intéresseront à la création d’un patch (enfin ça a l’air pour l’instant d’être comme ça…). Et la force de la communauté me parait de ce côté là plus convaincante que le discours de Microsoft.
De plus, même si ce n’était pas le cas, vous pourriez embaucher quelqu’un pour bosser sur le problème (si vous ne savez pas le faire vous même) : bien sûr ça ne risque pas en pratique de concerner beaucoup de monde, mais vous pouvez le faire dans de bonnes conditions (contrairement à Windows), car GNU/Linux est un logiciel libre et opensource.
Adresse de l’original : http://www.daviddallet.com/weblog/posts/2009/10/15/linux-plus-sur-que-windows-tout-sauf-un-mythe-1-autorun-usb/
Article original écrit par David Dallet, sous licence libre CC-BY-SA France 2.0 (texte uniquement) – Pour copier cet article merci de conserver cette notice ainsi que le lien vers l’original. En cas de modification (ou de copie partielle), le lecteur doit être clairement informé.
Linux plus sûr que Windows : Un mythe ou pas? (1) L’exemple des clés USB
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog