"CanSecWest", un nom qui vous est probablement inconnu mais qui désigne une conférence de sécurité informatique canadienne. La semaine dernière, elle a proposé aux participants un concours pour le moins amusant et motivant : pirater un Mac, un PC sous Vista et un PC sous Ubuntu linux. La règle du jeu est simple : celui qui réussi remporte l'ordinateur qu'il a hacké. Les résultats ont quant à eux été assez étonnants…
Le but du jeu était d'afficher le contenu d'un fichier texte placé dans un dossier apparemment sécurisé.
La première journée, seule des attaques à distance ont été autorisées. Tous les ordinateurs ont résisté aux attaques. Chapeau. La deuxième journée a vu les règles devenir plus souples. Les pirates ont eu accès aux machines et ont eu le droit de surfer sur des sites piégés par leurs soins. Ce second jour a vu le MacBook Air rendre les armes en quelques minutes. Charlie Miller a mis l'OS de la Pomme à genou grâce à une faille inconnue présente dans Safari. Il a remporté 10 000 $ et le MacBook Air.
Le troisième jour, les participants ont eu le droit d'installer et d'utiliser des failles de logiciels tiers, tels que Acrobat Reader, Adobe Flash ou encore Skype. Vista SP1 a succombé à son tour, grâce (ou à cause) d'une faille présente dans Flash. A noter que Vista en lui même n'est pas en cause, ce qui est déjà un bon point.
Le PC sous Ubuntu a quant à lui résisté et est resté inviolé. Une bonne nouvelle pour les utilisateurs de linux.
Les failles utilisées n'ont pas été rendues publiques et ne le seront pas tant que les sociétés éditrices n'auront pas comblé ces trous de sécurité. Cela évitera bien des désagréments à des milliers d'internautes…
Le test a évidemment été critiqué par de nombreux experts, arguant que la faille utilisée contre le MacBook, passant par Safari, devait probablement exister sur Ubuntu, à travers des navigateurs basés sur Webkit. Le pirate aurait-il volontairement ciblé cet ordinateur dans le but de le remporter ? Mystère.
Des vulnérabilités connues existent également sur linux et n'auraient pas été utilisées, bref, selon certains informaticiens, ce concours ne reflète en rien une "hiérarchie" de la sécurité des OS. On sera tout de même rassuré de voir le mal que ces hackers se sont donnés pour finalement devoir passer par une faille externe à l'OS même !
Il me semble
Il me semble que Firefox ne fonctionne pas avec Webkit mais sur le moteur de rendu Gecko. c’est Konqueror qui fonctionne avec le même moteur que Safari donc Kubuntu (avec kde) et non Ubuntu (avec gnome) …
En effet, Firefox est basé sur Gecko et Konqueror sur KHTML, le moteur utilisé pour créer Webkit et dont Apple s’est assez éloigné avec le temps. Mais nulle part je n’ai dit que Firefox utilisait Webkit. Je pensais plutôt à des navigateurs comme Midori présents sur Ubuntu et utilisant Webkit ou le logiciel de lecture d’aide Yelp.
Midori ou Yelp… Jamais entendu parlé et pourtant je suis un utilisateur Ubuntu au quotidien depuis la première version (4.10) … là encore il peut y avoir confusion Ubuntu c’est Gnome … le seul navigateur par défaut est Firefox (et l’outil d’aide s’appelle « Aide » … je viens de vérifier )
je cite : « Le test a évidemment été critiqué par de nombreux experts, arguant que la faille utilisée contre le MacBook, passant par Safari, devait probablement exister sur Ubuntu, à travers des navigateurs basés sur Webkit »
>> Il n’y a que Firefox comme navigateur sur Ubuntu, donc de quel navigateur basé sur Webkit parlent -ils … ces fameux experts et midori ne fait pas partie d’Ubuntu
Relisez l’article, je n’ai pas parlé de programmes installés par défaut. « Le troisième jour, les participants ont eu le droit d’installer et d’utiliser des failles de logiciels tiers ». Tiers indique bien qu’ils ne sont pas là par défaut! Midori est un logiciel tiers, un navigateur alternatif que l’on peut utiliser sur Ubuntu en le téléchargeant des dépôts. Mais effectivement il y a plus simple pour utiliser une faille Webkit : Yelp, qui lui est installé par défaut sur les distributions GNOME.
Quant à Yelp, justement, là encore vous vous trompez. C’est le logiciel de navigation d’aide en ligne par défaut de GNOME. Vous pourrez d’ailleurs le retrouver sur le site officiel : http://live.gnome.org/Yelp avec l’explication toute aussi officielle : « Yelp is the help viewer in Gnome ».
lol
« On sera tout de même rassuré de voir le mal que ces hackers se sont donnés pour finalement devoir passer par une faille externe à l’OS même ! »
Ouais, enfin c’est quand même l’OS qui laisse l’application tierce faire n’importe quoi avec lui. ^^