Merde alors !

Il y avait déjà eu des enquêtes de sécurité qui allait dans ce sens... Rien de nouveau.

Pour le grand public, à mon avis le Mac reste toujours une plateforme sûre... Ces chiffres doivent être pondérés par le nombre d'utilisateurs, et l'attractivité de la plateforme pour les pirates (ce qui est lié au nombre d'utilisateurs, mais pas seulement)

Le problème c'est que les entreprises ne peuvent pas se contenter d'un "la plateforme est réputée sûre". La sécurité informatique est quelque chose qu'il est difficile d'appréhender. Les chiffres donnés par cette enquête sont des indicateurs objectifs qui doivent entrer dans l'équation (parmi d'autres facteurs).

Si Apple veut continuer à jouer dans le monde de l'entreprise, elle va devoir améliorer ce point sur lequel elle n'est pas forte : le patchage rapide des failles découvertes.

oui mais combien de ces failles sont réellement exploitable depuis l'exterieur (car c'est la qu'il faut d'abord regarder)
certes la faille de quicktime est dans ce cas la et est une épine douloureuse. et j'espere qu'apple la corrigera

De vraies passoires, ces Mac.

S'ils avaient une pdm plus importante, je n'ose imaginer le massacre...

nlex [12/02/2009 12:32]

Merde alors !

J'avais ce matin un peu de tracas concernant le boulot mais grâce a ta réaction, esprit "ZEN", cela m'a détendu et tout est rentré dans l'ordre. C'était le bon jour pour que 2 mots et une ponctuation suffisent pour me changer les idées

HORS SUJET MAIS MERCI.

D'ailleurs, c'est tellement facile de pirater un Mac que les pirates ne font même pas l'effort de créer des virus sur notre machine. Allez Apple un petit effort !!! ;)

le bug quicktime fut franchement décevant. apple ayant pris son temps.

-

pour le reste, c'est très alarmiste pour rien.

-
Je note que comme toujours, ActiveX est fondamentalement une mauvaise idée. Microsoft a investi je ne sais plus combien de technologies pour rendre ActiveX blindé, mais le concept même est néfaste.

C'est pas la securité intrinseque du Mac qui est mise en cause ici mais plutot la reactivité de Apple pour corriger les failles qui est bien trop longue..

Et force est de constater que Apple devient comme Microsoft ( gros patch de correction mensuel de plusieurs centaines de Mo ) là ou Linux et BSD corrigent dans les jours, voire les heures aprés la decouverte de la faille.
L'experience de l'empoisonnement du cache DNS et du logiciel Unix qui gere cela sous Mac ( Bind) montre bien que Apple n'a pas à la ramener en la matiére .

Heu...

La faille RSTP est comblée [url=http://docs.info.apple.com/article.html?artnum=307176-fr]depuis belle lurette (décembre 2007)[/url]. Alors, soit le rapport IBM est une pantalonnade, soit monsieur Laporte devrait arrêter de s'essayer au journalisme et tenter la SF, versant Héroïque-Fantaisie.

Un peu des deux sans doute. Car parler de "Most Vulnerable Operating Systems" en ne comptabilisant que le nombre de failles ne fait pas très sérieux.

De plus, contrairement à ce que vous laissez entendre, il ne s'agit pas de "la proportion de failles non patchées par rapport au nombre de failles découvertes en 2008", ce pourcentage ne reflète que la part de chaque système dans le nombre de failles et ne s'occupe en rien de savoir si elles sont patchées ou non.

Monsieur Laporte est amateur de titres à sensation, pourtant IBM ne pointe rien du tout, ni personne. Elle publie un rapport avec des statistiques et se garde bien d'en tirer des conclusions sur la qualité des OS. Comme c'est l'usage, il y a toujours un fumeux scribouillard pour essayer de leur faire dire n'importe quoi.

En attendant, les systèmes de l'armée française mis en carafe en janvier avaient à voir avec Windows Server...

Mais coupable l'armée, car la faille était patchée depuis octobre, comme tout ceux qui se sont fait prendre avec le RSTP en 2008.
Il faut faire les mise à jour de sécurité (QT 7.6 en remet une couche sur le URL RSTP).

@Divoli:"S'ils avaient une pdm plus importante, je n'ose imaginer le massacre... "

S'ils avaient une PDM importante, Apple ferait des patchs plus souvent.

D'ailleurs, c'est bien connu, la Navy US sont une bande d'incapables, la preuve il ont déclaré OsX éligible dans leurs système, les dauphins vont pouvoir hacker les sous-marins pour avoir des écrans bleus:-)

+1 Moonwalker...
En effet l'article d'IBM ne porte aucune conclusion contre Apple en particulier, et en effet il y a des erreurs visibles sans compter l'interprétation que l'on va faire des chiffres

Et je rajouterais que bizarrement, AIX est superbement bien placé ... bizarrement ;)

Comme toujours, on fait dire ce qu'on veut aux chiffres. Par contre, une chose est sûre : restez vigilents, Mac Users, un jour viendra, si vous n'y prenez pas assez garde, ou vous vous prendrez un bouillon qui fera du bruit.

Encore mieux : la faille listée par IBM [CVE-2007-015] est patchée depuis janvier 2007 et et [url=http://support.apple.com/kb/HT2238?viewlocale=fr_FR]la mise à jour de sécurité 2007-001[/url].

Certes, QT est un point faible de Mac OS X (également de Windows), comme votre porte ou vos fenêtres sont les points faibles de vos maisons.

Donc : faire les mises à jour de sécurité. Remarquez que pour les problèmes de RSTP, Apple a réagi à chaque fois avec célérité.

Donner au chapitre "Most Vulnerable Operating Systems" des pourcentages de failles non patchées sans donner à coté leur nombre en valeur absolue c'est un peu con et/ou pas franchement de bonne foi : Si X a eu 5 failles dont une non patchée, X obtiens 20%... alors que si Y a eu 500 failles dont 50 non patchées Y obtiens 10%, X semble alors 2x moins vulnérable qu'Y alors qu'en réalité il l'est 50x plus.

De plus parler de failles sans mettre en parallèle les exploitations de ses failles en mettant clairement en évidence les exploits de failles déjà patchées par l'éditeur, c'est pas vraiment vouloir informer clairement, non ?

"S'ils avaient une PDM importante, Apple ferait des patchs plus souvent."

Incroyable, Apple est une entreprise artisanale misérable.

Pourquoi, mais pourquoi donc, compte t'on les failles d'apache dans Mac OS X et pas dans Windows ou AIX ?
Quand au temps de réaction, il dépend aussi de la réaction des milliers d'applications open-source...
@Origin : être sur mac n'a jamais été une bonne raison de ne pas sauvegarder ses données...
En effet, un disque dur tombe aussi en panne sur mac par exemple.

Ca me fait toujours marrer ce genre d'article sur la dangerosité de tel ou tel systeme d'exploitation... J'utilise Windows et MacOS depuis des annees, je ne suis jamais tombé sur des virus. Suis-je chanceux ? Ou simplement prudent, en ne telechargeant pas n'importe quoi n'importe ou ?... Sans doute un peu des deux :-)

@Moonwalker : Depuis quand MacGé c'est du journalisme ? Faut pas leur en vouloir, MacGé rapporte juste des news parues un peu partout.

Je trouve le second tableau assez curieux : on met dans le même panier, une société comme Apple qui délivre un certain nombre de logiciels et de solutions bien différentes les unes des autres, et d'autres comme Drupal et Joomla qui délivrent un **unique** outil de gestion de contenu de site web. Bon, c'est bizarre.

Ce rapport est très intéressant toutefois. À lire en détail.

et une faille, une : http://www.secuobs.com/news/22012009-memory_injection_mac_os_x_blackhat.shtml

extrait:

Vincento Iozzo, chercheur en sécurité informatique, vient de révéler qu’il aurait découvert un nouveau moyen de procéder à l’injection de codes hostiles au sein de la mémoire des ordinateurs qui sont régis par les systèmes d’exploitation de type Apple Mac OS X. La technique en question pourrait à l’avenir complexifier de façon considérable les opérations de recherche de preuves qui seront menées sur les machines exploitées et compromises par des attaques réalisées dans ce cadre.

En même temps 70% des failles sont liées a des technologies microsoft et ne sont donc exploitables que sous windows et 93% ne sont pas liées a des techno Apple.

C'est plutôt comme cela qu'il faut lire ces données en particulier le camenbert.

AIX classé dans les "meilleurs" ... mais a t'il un système de logiciels multimédia avancé, un navigateur maison intégré etc ? Bref on compare des systèmes restreints et ciblés avec des systèmes "complets" grand-public... forcément qu'en ayant plus de logiciels/services on a plus de risques de failles...

Je trouve aussi qu'il y a bcp de failles dans ce genre d'études, toutes prenant des définitions différentes (faille exploitable/exploitée ou pas, composant système ou logiciel tiers inclus ou pas etc.) .

Après faut voir entre obligation de moyen (bcp de patchs) et obligation de résultat (pas d'exploitation effective des failles) ce qui est préférable en informatique...perso j'ai choisi.

Le classement des systèmes d'exploitation n'a aucun sens ! En effet il compare des choux et des carottes.
D'un côté un kernel linux avec les fonction de base du système. Et de l'autre Mac OS X server avec son lot de service DNS, web, mail,...
Cela est également valable pour microsoft. Si l'on veut comparer la sécurité de différente solution, il faut bien le comparer à solution équivalente.
Ensuite faire porter à Apple la resposabilité du comportement des utilisateurs de PC qui trainent à se mettre à jour c'est un peu gros.

@ T Ki

CQFD, bravo je n'aurais pas mieux expliqué. C'est enfilades de chiffres totalement subjectives et à qui on peut faire dire n'importe quoi me sorte des yeux (et pas qu'en informatique) : c'est de la désinformation totale !!!

D'ailleurs, comme le souligne nicogala, il y a pas mal de failles dans les études elles-même, on devrait les lister et leur renvoyer...

Note : je cherche IE, Acrobat et iTunes pour AIX ... LOL

Reste qu'il y a "faille" et "faille"... Comme toujours, il peut y avoir des dizaines de failles qui ne permettent rien du tout dans un système et une seule qui ouvre tout sur un autre système... IBM ne précise pas... Bien sûr!...

Je pouffe ! La faille QT est corrigée et l'article ne mentionne pas le % de failles OSX nécessitant, pour être exploitées depuis l'extérieur du système, un mot de passe root ou admin dûment renseigné par l'utilisateur du mac.

Car la seule vraie faille de sécurité sur Mac se situe toujours entre la chaise et le clavier !

"Dans le top 10, on trouve deux solutions de gestions de contenu sur le web (Joomla et Drupal), "

pardon 3 car TYPO3 en est une aussi ! :)

Quelque chose me chiffonne (me déplait) au plus haut point dans la politique d'Apple à ce sujet. S'il m'arrive de ne pas appliquer certains "patch", c'est parce qu'ils sont inclus dans des mises à jour. Et celles-ci changent parfois la donne avec des fonctions non souhaitées. Il serait essentiel qu'ils séparent toujours sécurité et fonctionnalités. Une mise à jour doit inclure les patchs antérieurs. Mais elle ne peut pas faire l'économie d'un patch distinct !

Pfff… C'est blaireaux de chez IBM, ils ont oublié le Minitel dans leur classement!
Encore un signe que ce n'est pas sérieux.

la plus grande faille de sécurité est commune a tous les os et se situe entre le clavier et la chaise.....
ceci étant dit apple se la joue de plus en plus cool sur les patch et ca c'est décevant.
cf le temps de ponte du bind officiel heureusement qu'un coup d'xcode et un peu de galere on peut faire nos patch nous même.... après faut se jeter à l'eau et la ou un linuxien(ne) le fera sans hésitez un pure mac user attendra.....

Moralité stop utiliser un seul système et stay tuned ;)

my 2cents

Vous connaissez quelqu'un qui utilise Vista sans avoir désactiver toutes les alertes vous ? Moi non. Y prennent ça en compte dans leur analyse ?
Autre chose que je ne comprends pas, c pourquoi, depuis le temps que tel ou tel expert nous annonce les grandes vulnérabilités de Mac OSX, et que je n'utilise aucun antivirus ou FW autre que celui du système, je n'ai jamais eu le moindre soucis...

And the winner is....... : IBM

Bravo, IBM a fait une étude pour découvrir qu'ils sont les meilleurs. Pas mal.

Un jour j'ai lu une étude très sérieuse qui concluait qu'un verre de vin par jour augmentait l'espérance de vie... une étude émanant de l'Université de Bordeaux

etc...etc...

@Yves SG : Les "failles" de Mac OS X ne sont pas dans l'OS pour la plupart mais dans un des nombreux projets opensource qu'Apple intègre (sans les activer de base, très souvent) dans son OS.
Un moyen radical de faire baisser tout ça serait de compliquer l'installation de Mac OS X pour n'installer que le nécessaire à l'utilisateur ou sortir 6 versions de Mac OS X.
(Dont une qui ne peut lancer que 3 applications à la fois, dont un anti virus).

[b]Profil des 4 ou 5 "piliers" du blog de MacG[/b]
[b]09:10[/b] Arrivée avec 10' de retard comme tous les jours.
[b]09:11[/b] Dépôt de l'attaché case.
[b]09:12[/b] Direction vers la machine à café
[b]09:42[/b] Retour au bureau
[b]09:43[/b] Ouverture de l'attaché case pour y prendre le seul document l'Équipe.
[b]09:44[/b] Direction vers les "gogues"
[b]10:14[/b] Retour au bureau
[b]10:15[/b] Connexion au site de MacG
[b]10:16[/b] Lecture des nouveaux billets des 3 ou 4 "pigistes" en chef
[b]10:30[/b] Pause, direction machine à café
[b]11:00[/b] Retour vers le bureau
[b]11:01[/b] Endossement, selon l'humeur et les billets, d'un costume d'Expert Informatique, Commercial, Financier, Economique, Fabrication, Exportation, Distribution et d'autres sortant tout droit de leur imagination.
[b]11:55[/b] Direction vers la "cantine" ou naturellement l'intéressé bien que n'ayant rien à dire, n'arrête pas de parler, fort de préférence

[b]14:00[/b] Direction vers la machine à café
[b]14:30[/b] Retour au bureau
[b]14:31[/b] Connexion au site de MacG, sous un autre pseudo
[b]14:32[/b] Rédaction des réponses a ceux qui "ne comprennent rien", ou d'avis différents, les mots troll ou trolleurs étant les préférés de leur vocabulaire.
[b]15:00[/b] Déconnexion du site de MacG
[b]15:01[/b] Reconnexion au site de MacG, sous un autre pseudo
[b]15:02[/b] Rédaction de réponses pour appuyer et approuver les posts rédigés sous l'autre pseudo
[b]15:22[/b] Fermeture en urgence de Safari suite à l'entrée du chef de service dans le bureau.
[b]15:23[/b] Balbutiements pour justifier le travail pas fait, ou le peu de commencé qui est mal fait, que ce n'est pas de sa faute, mais celle d'un autre et une multitude de bonnes raisons pour camoufler son incompétence.
(Les collègues de travail ont les oreilles qui sifflent).
[b]15:30[/b] Sortie du chef de service du bureau.
[b]15:33[/b] Direction la machine à café, pour se remonter le moral.
[b]15:34[/b] Harangue des "collègues" de travail, "Quel nul ce chef de service y comprend rien", et puis ça fait 15 ans que je n'ai pas eu d'augmentation individuelle alors il peut toujours courir.
[b]16:00[/b] Direction les "gogues"
[b]16:15[/b] Retour au bureau
[b]16:16[/b] Connexion au site de MacG pour en rajouter une couche.
[b]16:46[/b] Recherche de l'Équipe dans le foutoir du bureau pour le remettre dans l'attaché case.
[b]17:00[/b] Départ de l'entreprise
[b]17:30[/b] Bonjours chéri ta journée s'est bien passée,
M'en parles pas, quelle journée, heureusement que je suis la, sinon la boite s'écroulerait ! :-)
Avec de tels professionnels, notre économie et notre industrie sont en béton.
La preuve !
Vivement demain !

@ Brewenn

Sais pas dans quelle boite tu bosse, mais à part dans l'administration, je vois pas ou tu peux trouver un tel profil...

Ceci dit, c vrai qu'il y a bcp de post en semaine et en pleine journée !

@Brewenn : BRAVO; Il y a longtemps que je n'étais pas venu lire les réactions sur les actus de MacGé. J'avais oublié le nombre impressionnant d'experts de tous poils qui les rédigent… C'est stupéfiant! Merci de ton analyse pleine d'humour. En ce petit matin neigeux, ça fait du bien.

@Yves SG
J'ai arrêté de travailler, vu que j'ai bien gagné ma vie et que je veux en profiter.
Mais pour arriver à cela auparavant je ne venais pas "glander" sur des blogs à refaire pour la énième fois l'informatique, j'étais beaucoup trop occupé, et si j'avais surpris un de mes collaborateurs à venir perdre son temps sur un blog de ce genre je l'aurai viré immédiatement. :-)