[gull] Sécurité

[Daniel Cordey]

On 02/03/2021 16:48, darksponge wrote:
> https://madaidans-insecurities.github.io/linux.html 
> <https://madaidans-insecurities.github.io/linux.html>
>
> Je suis tombé sur cet article, mais n'ayant pas les compétences pour 
> pouvoir juger de son objectivité, je me suis dit qu'il pourrait être 
> intéressant d'en discuter ici.
>
Wow, wow, wow...

Commençons par quelque chose de simple, comme un petit whois sur 
github.io...

Registrant Organization: GitHub, Inc.
Registrant State/Province: CA
Registrant Country: US

GitHub ayant été racheté par Microsoft, je reste méfiant :-)

L'article, s'il soulève des points intéressants et connus, me semble 
très largement biaisé sur pratiquement tous les points. Les questions de 
sécurité mentionnées dans l'article sont connues et pas du tout 
ignorées, contrairement à ce que laisse penser son hauteur.

Ensuite, il est vrai que le langage C, et C++ dans une moindre mesure, 
permet d'écrire du code non sûre. Cela ne veut pas dire que tous les 
programmeurs C vont systématiquement écrire du code non-sûre. Cet espèce 
de syllogisme que l'auteur essaie de nous faire gober est 
particulièrement ridicule. Il existe des librairie de gestion de la 
mémoire ainsi que d'autres outils qui limitent drastiquement les 
potentiels problèmes évoqués. Par exemple, la non initialisation de la 
zone data est quelque chose de connu depuis les années 80; et il existe 
plein de techniques pour y remédier.  J'aurais aussi tendance à dire que 
c'est de la responsabilité du programmeur de faire attention à cet 
aspect des variables non initialisées. Avec GCC, la zone .bss est 
initialisée avec des zéros, mais pas la zone data car on ne connaît pas 
son usage au début du programme (malloc() !). Aussi, il y a des zones 
que l'on ne veut pas voir initialisées comme les zones communes (shared 
memory, memory mapped). Cette affirmation dans l'article est parcellaire 
et se garde bien de parler de l'ensemble pour mieux proposer une 
conclusion péremptoire dans le but de dénigrer tout ce qui n'est pas 
Windows... Intéressant et vraiment pathétique.

Ensuite, l'auteur dit que le kernel Linux est écrit dans un langage 
considéré comme dangereux. Je rappelle à cet amoureux transis de 
Microsoft que le code de Windows est écrit dans le même langage... même 
s'il y a quelques lignes de C++ (mais là aussi ce langage est considéré 
comme le diable par l'auteur).

Bref... très franchement, cet article est plutôt un ramassis de 
conneries partisanes et absolument pas une approche exhaustive et 
scientifique des différents OS du marché.

Je suis "Operations & Incident Manager" pour une société multi-nationale 
et celle-ci utilise massivement Windows et les outils Microsoft. Je me 
garderai bien de me lancer dans une comparaison ou tout ce qui ne va pas 
avec Windows. Chaque OS a ses problèmes et solutions. Toutefois, je suis 
exposés aux rapports de sociétés comme FireEye, Mandiant, Crowdstrike, 
etc. et je suis quotidiennement au courant de tous les problèmes 
relatifs aux menaces dans le monde. Pas besoin de faire de savantes 
statistiques pour constater qu'un seul OS monopolise 99% des problèmes 
et que les portes d'entrées et trous de sécurités y sont légions. De 
gros efforts sont accomplis par Microsoft pour améliorer la sécurité de 
Windows, mais le chemin est encore long. C'est la raison pour laquelle 
cet article me fait doucement sourire...

Je ne sais pas ce qui motive l'auteur en diffusant un article aussi mal 
ficelé et biaisé, mais je lui suggère de se renseigner sérieusement au 
sujet de Linux et de regarder la réalité en-face. Ce n'est pas un hasard 
si les sites de logiciels anti-virus pour Windows tournent tous sous 
Linux... "Faites ce que je dis pas ce que je fais", sans doute un 
problème de confiance... Ah, au fait, tous les anti-virus sont écrits en 
C; le pauvre gars à encore du boulot devant lui.

dc