Ubuntu-fr

jofab

Re : Sudo et la sécurité?

C'est une faille de sécurité dans la mesure ou qqn ou un processus peut s'octroyer un privilège alors que ce privilège ne lui est pas destiné. Quelque soit l'origine du processus. C'est certain que cela veut dire qu'il y a eu qqc avant (install d'un prog ou autre) mais c'est pas une raison pour laisser les choses en l'état (C'est comme si chaque fois que tu laisses qqn entrer chez toi, ta porte ne se referme que 15 min apres, on peut toujours dire que c'est de ta faute d'avoir ouvert la porte ).
De plus l'instal de qqc de nocif peut etre du fait du manque de vigilance de l'utilisateur mais cela peut aussi etre du à l'exploitation d'autres failles (donc la faille seule n'est peut etre pas tres grave mais cumulée avec une autre faille qui permette de s'intaller sur un compte utilisateur, ca peut le devenir)
Clairement, ce qui est en cause c'est le fait de, par defaut, laisser les droits ouverts pendant un certain temps (arbitraire ?). Le comportement normal serait de demander systématiquement le mot de passe sauf si l'utilisateur précise qu'il veut une fenetre plus grande (et aussi de prévoir un moyen pour fermer la fenetre avant la fin du temps prévu). 
C'est clairement une faille de sécurité mais elle n'est pas du à un bug logiciel mais simplement à une mauvaise utilisation de celui-ci. Le fait de simplement désactiver la temporisation règle le pb.

Dradge

Re : Sudo et la sécurité?

La faille est dans le fait que si une appli utilise gksudo, elle donne les privilèges de sudo à toutes les applications graphiques.

philarmonie

Re : Sudo et la sécurité?

Jofab a bien résumé la situation, si après ça lawl tu n'es pas convaincu du problème j'espère juste que tu ne fais pas partie de l'équipe de dev d'Ubuntu.

lawl

Re : Sudo et la sécurité?

mais c'est pas une raison pour laisser les choses en l'état (C'est comme si chaque fois que tu laisses qqn entrer chez toi, ta porte ne se referme que 15 min apres, on peut toujours dire que c'est de ta faute d'avoir ouvert la porte

Les 15 minutes est un choix de l'équipe d'Ubuntu...

La faille est dans le fait que si une appli utilise gksudo, elle donne les privilèges de sudo à toutes les applications graphiques.

La non plus je ne pense pas que ce soit une faille mais une conséquence des 15 minutes

Je ne dit pas qu'il n'y a pas problème mais que ce n'est pas une faille c'est un choix de sécurité faite par l'équipe d'Ubuntu !

Ce dont vous parler pourrait se faire sans aucune utilisation de sudo, un programme qui pourrait capter ce mot de passe pourrait tout aussi bien capturer votre mot de passe root votre mot de passe utilisateur il s'agit juste d'un keylogger et pour qu'il soit sur votre système il faut qu'il y ati eu faille ou négligence de l'utilisateur en amont....

J4ai le même avis que Bigcake

Dernière modification par lawl (Le 30/01/2009, à 12:53)

philarmonie

Re : Sudo et la sécurité?

mais c'est pas une raison pour laisser les choses en l'état (C'est comme si chaque fois que tu laisses qqn entrer chez toi, ta porte ne se referme que 15 min apres, on peut toujours dire que c'est de ta faute d'avoir ouvert la porte

Les 15 minutes est un choix de l'équipe d'Ubuntu...

disons que c'est le délai par défaut de sudo et que l'équipe d'Ubuntu l'a conservé.

un programme qui pourrait capter ce mot de passe

le programme malveillant hypothétique n'a justement pas besoin de capter de mot de passe pour effectuer des actions avec les droit root, étant donné qu'une fois sudo lancé le mot de passe n'est plus demandé pendant 15 minutes.

Dernière modification par philarmonie (Le 30/01/2009, à 12:58)

jofab

Re : Sudo et la sécurité?

mais c'est pas une raison pour laisser les choses en l'état (C'est comme si chaque fois que tu laisses qqn entrer chez toi, ta porte ne se referme que 15 min apres, on peut toujours dire que c'est de ta faute d'avoir ouvert la porte

Les 15 minutes est un choix de l'équipe d'Ubuntu...

disons que c'est le délai par défaut de sudo et que l'équipe d'Ubuntu l'a conservé.

sur http://www.gratisoft.us/sudo/man/sudo.html ils semble dire que par defaut c'est 5 min. Donc l'equipe d'ubuntu l'a (arbitrairement ?) poussé à 15 min

un programme qui pourrait capter ce mot de passe

le programme malveillant hypothétique n'a justement pas besoin de capter de mot de passe pour effectuer des actions avec les droit root, étant donné qu'une fois sudo lancé le mot de passe n'est plus demandé pendant 15 minutes.

Le pb est effectivement dans le fait qu'il n'y a plus besoin de s'authentifier...

La faille est dans le fait que si une appli utilise gksudo, elle donne les privilèges de sudo à toutes les applications graphiques.

pas seulement, sudo donne le privilège à toutes les process lancés dans le meme terminal. C'est moins probable d'arriver à l'utiliser dans une console que pour une application lancé graphiquement mais pas impossible et surtout pas normal... donc sudo est aussi affecté

Bigcake

Re : Sudo et la sécurité?

La non plus je ne pense pas que ce soit une faille mais une conséquence des 15 minutes

Qu'est ce qu'une faille d'après toi ?
Ma définition de la faille, c'est un point faible, une brèche par laquelle on peux se faufiller.
un brèche par laquel n'importe quel processus peut récupérer les droits root
Je rejoins les autres en disant que c'est une faille de ubuntu.

Un faille involontaire créée par l'équipe ubuntu.
Maintenant, peut-etre qu'ils ont de bonnes raisons de l'avoir fait, c'est a eux de nous dire s'il le veulent bien pourquoi ce choix.

Je vais essayer de faire une comparaison imagé.
Imagine dans un métro, qu'on construise des portes infranchissable sans billets (du moins c'est ce qu'on aspire a faire) aux entrées, dans le but que tous les utilisateurs paye leur billets pour voyager.
La sécurité décide que lors du passage d'une personne a travers cette porte, la porte reste ouverte 30 s.
Toi, tu ne veux pas payer ton billet. quelle est la faille dans cette porte infranchissable qui va te permettre de passer ? les jointure ? le materiau ? la copie des billets ? monter sur le toit ?
Cette faille, c'est le fait que la porte reste ouverte 30s, conséquence du choix de la sécurité.

Tu est d'accord avec moi sur mon post précédent, mais je ne suis pas d'accord avec toi quand tu affirme que ce n'est pas une faille.

(d'ailleurs si quelqu'un a un lien qui explique comment mettre le timer a 0 je suis preneur ! merci !)

Dernière modification par Bigcake (Le 30/01/2009, à 14:20)

---

"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5

philarmonie

Re : Sudo et la sécurité?

(d'ailleurs si quelqu'un a un lien qui explique comment mettre le timer a 0 je suis preneur ! merci !)

dans la doc: http://doc.ubuntu-fr.org/sudo#options

Edit: après avoir relu tes messages lawl, il me semble (je me trompe peut être) que tu n'as pas compris une des données de cette faille (pour moi s'en est une): le script malveillant n'a pas besoin de connaitre le mot de passe pour exécuter les commandes en tant que root (cf les proof of concept au début du sujet).

Dernière modification par philarmonie (Le 30/01/2009, à 14:48)

®om

Re : Sudo et la sécurité?

(d'ailleurs si quelqu'un a un lien qui explique comment mettre le timer a 0 je suis preneur ! merci !)

dans la doc: http://doc.ubuntu-fr.org/sudo#options

Je pense que mettre le timeout à zéro n'est pas une solution acceptable (si tu fais 2 sudo de suite dans la console, faut pas qu'il te redemande le mot de passe).

Le problème ne vient pas du fait que le temps est trop long, mais du fait qu'il affecte le tty graphique, et donc que TOUS les programmes ont accès à ce privilège (contrairement à ce qu'on fait en console, si on fait un sudo dans un terminal, et qu'on en fait un autre dans un autre terminal, le mot de passe est redemandé).

---

®om's blog

philarmonie

Re : Sudo et la sécurité?

Je pense que mettre le timeout à zéro n'est pas une solution acceptable (si tu fais 2 sudo de suite dans la console, faut pas qu'il te redemande le mot de passe).

personnellement je me sens plus à l'aise ainsi. En fait s'est surtout que je ne suis pas fan de l'utilisation de sudo qui consiste à donner l'accès root total à un utilisateur (à la base sudo est fait pour donner certains accès root à un utilisateur pas tous).
si je veux faire plusieurs commandes en root, je fais

sudo -s

et j'obtiens un shell root. Ainsi j'utilise sudo exactement comme su. Je passe en root quand je le veux, je contrôle ce qui se passe sur ma machine, et si je fais une connerie je ne peux m'en prendre qu'à moi même.

lawl

Re : Sudo et la sécurité?

disons que c'est le délai par défaut de sudo et que l'équipe d'Ubuntu l'a conservé.

Non c'est bel et bien un choix d'Ubuntu !

e programme malveillant hypothétique n'a justement pas besoin de capter de mot de passe pour effectuer des actions avec les droit root

et comment il est arrivé là cet hypothétique programme malveillant ?
Par une faille mais rien avoir avec la "faille" de sudo....

Une faille c'est la possibilité de pénétrer un système ou le faire planter ici pour profiter de sudo il faut avoir DEJA pénétrer le système....

Comme je l'ai déjà dit si un tel programme arrive à utiliser sudo il peut tout aussi bien vider le home est ce aussi une faille ?

C'est un choix de sécurité que certain trouve trop léger mais pas une faille.

Si il ya faille il y a exploit. Qui peut me présenter cet exploit ? et Je veux bien faire le cobaye voir si vous allez réussir à me piquer mon mot de passe....

philarmonie

Re : Sudo et la sécurité?

Une faille c'est la possibilité de pénétrer un système ou le faire planter ici pour profiter de sudo il faut avoir DEJA pénétrer le système....

là on est d'accord, le programme doit déjà avoir pénétrer le système en utilisant une autre faille qui n'est pas du ressort de sudo.

Comme je l'ai déjà dit si un tel programme arrive à utiliser sudo il peut tout aussi bien vider le home est ce aussi une faille ?

certes mais si il est là, il ne peut utiliser ses actions qu'avec les droits du compte utilisateur qu'il a percé (sauf bien sur si il a réussi à rentrer tout en chopant le mot de passe du compte)
mais le fonctionnement même de sudo avec un délai non nul, fait que ce même programme peut alors également exécuter des commandes avec les droits root.

Si il ya faille il y a exploit. Qui peut me présenter cet exploit ? et Je veux bien faire le cobaye voir si vous allez réussir à me piquer mon mot de passe....

il n'a jamais été question de piqué le mot de passe de personne, le programme n'en a nullement besoin pour s'exécuter en root.
pour des exploits, il y en a plusieurs exemples dans les deux premières pages du sujet.
après certes dans la pratique, il faut bien qu'un autre programme présente une faille pour que celle ci soit exploitée. Mais là où au départ on a une faille qui permet d'exécuter des commandes avec des droits utilisateurs, on se retrouve avec une faille qui permet d'exécuter des commandes avec les droits root.

lawl

Re : Sudo et la sécurité?

le fonctionnement même de sudo avec un délai non nul, fait que ce même programme peut alors également exécuter des commandes avec les droits root.

Le problème est bien là on est d'accord mais c'est un choix pas une faille !

J'imagine que ceux qui ont décider cela l'on fait en pensant qu'il y a peu de faille de logiciel exploitable sous GNU/Linux qui vaille la peine de renforcer la sécurité de se coter là.
Mais comme je l'ai déjà dit dans ce thread je n'aime pas l'utilisation de sudo dans Ubuntu qui rend le première utilisateur un root potentiel.

C'est exactement comme lorsque l'on est administrateur de sa machine sous windows ce n'est pas une faille mais un manque de sécurité.

philarmonie

Re : Sudo et la sécurité?

Effectivement on est d'accord, sauf sur un point où je partage plus l'avis de Bigcake

j'ai envie de dire qu'il s'agit d'une faille dans le choix des règles de sécurité

Dernière modification par philarmonie (Le 30/01/2009, à 19:35)

lawl

Re : Sudo et la sécurité?

En fait vous parler de faille d'un point de vue politique et moi technique

jofab

Re : Sudo et la sécurité?

Je pense que mettre le timeout à zéro n'est pas une solution acceptable (si tu fais 2 sudo de suite dans la console, faut pas qu'il te redemande le mot de passe).

Par defaut, il doit etre à 0. Apres, si tu sais que tu vas enchainer les commandes, la tu dois pouvoir fixer un temps plus long et tu dois aussi pouvoir indiquer que tu as fini avant le temps fixé...

Le problème ne vient pas du fait que le temps est trop long, mais du fait qu'il affecte le tty graphique, et donc que TOUS les programmes ont accès à ce privilège (contrairement à ce qu'on fait en console, si on fait un sudo dans un terminal, et qu'on en fait un autre dans un autre terminal, le mot de passe est redemandé).

Non, c'est moins probable mais c'est quand meme pas normal sur un terminal. Je fais pas mal de choses directement sur un terminal et ca peut m'arriver de lancer mozilla (ou autre...) apres avoir fait un sudo (et je ne pense pas etre le seul). Du coup, même si c'est moins probable, le pb est le meme !

jofab

Re : Sudo et la sécurité?

et comment il est arrivé là cet hypothétique programme malveillant ?

Peu importe. Un programme à qui on n'a pas donné de droits ne doit pas pouvoir se les octroyer !

Une faille c'est la possibilité de pénétrer un système ou le faire planter ici pour profiter de sudo il faut avoir DEJA pénétrer le système....

Non une faille c'est qqc qui permette d'accomplir qqc pour lequel on n'est pas autorisé ! Ca peut etre lire un fichier d'un autre user, écrire dans une zone ou n'a pas le droit, faire executer un code avec un niveau de privilège suppérieur. Tu confonds un peu but et moyen.

Comme je l'ai déjà dit si un tel programme arrive à utiliser sudo il peut tout aussi bien vider le home est ce aussi une faille ?

Oui mais la il peut aussi le faire avec le compte du voisin... (Il n'y a pas de faille car un programme qui vide ton home est autorisé à le faire...)

C'est un choix de sécurité que certain trouve trop léger mais pas une faille.

Non, c'est bien une faille du système : un programme peut s'executer avec un niveau de privilège suppérieur a celui qui lui ai donné.
(Outre le probleme d'un programme mal veillant, si l'admin de la ou je bosse viens faire un sudo sur mon poste, je peux etre root pendant 15 min sur mon poste !!!)

Si il ya faille il y a exploit. Qui peut me présenter cet exploit ? et Je veux bien faire le cobaye voir si vous allez réussir à me piquer mon mot de passe....

On peut etre root sans avoir à te le prendre, alors peu importe ton mot de passe

lawl

Re : Sudo et la sécurité?

Il n'y a pas de faille car un programme qui vide ton home est autorisé à le faire

A et pourquoi alors pas à prendre mes droit sudo ?

On peut etre root sans avoir à te le prendre, alors peu importe ton mot de passe

Là n'est pas le problème j'aurais tout aussi pu demander à ce que l'on me montre un exploit qui utilise cette "faille" de sudo...

Non, c'est bien une faille du système : un programme peut s'executer avec un niveau de privilège suppérieur a celui qui lui ai donné.
(Outre le probleme d'un programme mal veillant, si l'admin de la ou je bosse viens faire un sudo sur mon poste, je peux etre root pendant 15 min sur mon poste !!!)

NON non et non c'est bien une feature, l'admin doit savoir que si il utilise sudo c'est actif pendant 15mn c'est bel et bien un choix d'Ubuntu !
C'est a l'admin de se déconnecter pour ne pas laisser les droit root à l'utilisateur mais si c'est un bon admin ces utilisateurs ne seront pas le premier utilisateur de la machine et n'auront donc pas les droits sudo...

jofab

Re : Sudo et la sécurité?

Il n'y a pas de faille car un programme qui vide ton home est autorisé à le faire

A et pourquoi alors pas à prendre mes droit sudo ?

Bien quand tu executes un prog tu sais qu'il a tes droits (donc ecriture dans ton home) mais tu sais qu'il n'a pas de droit d'ecrire ailleurs que dans ton home...

On peut etre root sans avoir à te le prendre, alors peu importe ton mot de passe

Là n'est pas le problème j'aurais tout aussi pu demander à ce que l'on me montre un exploit qui utilise cette "faille" de sudo...

Ok, je vais essayer, un de ces soirs, de te faire un petit prog. Cela dit tu as script en debut de la discution...

Non, c'est bien une faille du système : un programme peut s'executer avec un niveau de privilège suppérieur a celui qui lui ai donné.
(Outre le probleme d'un programme mal veillant, si l'admin de la ou je bosse viens faire un sudo sur mon poste, je peux etre root pendant 15 min sur mon poste !!!)

NON non et non c'est bien une feature, l'admin doit savoir que si il utilise sudo c'est actif pendant 15mn c'est bel et bien un choix d'Ubuntu !
C'est a l'admin de se déconnecter pour ne pas laisser les droit root à l'utilisateur mais si c'est un bon admin ces utilisateurs ne seront pas le premier utilisateur de la machine et n'auront donc pas les droits sudo...

C'est sur que l'admin serai un peu leger... mais le fait que ce soit un comportement par defaut est un risque.
cela dit avec gksudo comment fait on pour se deconnecter ?

alexduf

Re : Sudo et la sécurité?

NON non et non c'est bien une feature, l'admin doit savoir que si il utilise sudo c'est actif pendant 15mn c'est bel et bien un choix d'Ubuntu !
C'est a l'admin de se déconnecter pour ne pas laisser les droit root à l'utilisateur mais si c'est un bon admin ces utilisateurs ne seront pas le premier utilisateur de la machine et n'auront donc pas les droits sudo...

Oui mais si la machine a été compromise justement par le fameux script qui attend qu'on lance un sudo, l'admin, lui, il s'en est peut-être pas rendu compte (à cause justement d'une faille dans n'importe lequel des autres logiciels)
Et là, 15 minutes ou pas, le problème est bien réel.

lawl

Re : Sudo et la sécurité?

cela dit avec gksudo comment fait on pour se déconnecter ?

Une fermeture de session suffit non ?

Ok, je vais essayer, un de ces soirs, de te faire un petit prog. Cela dit tu as script en debut de la discution..

Je vois que l'on ne se comprend pas ! Je ne dit pas que la façon dont est utilisé sudo sous Ubuntu est bonne mais que ce n'est pas une faille mais un choix.
Les programmes en début ou que tu pourrais faire montrerons que l'on peut prendre les droits root par l'intermédiaire de sudo  mais montrerons que ces programmes doivent etre installer par ma pomme et que donc il faut qu'il y est faille en amont ! c'est pourquoi je dit que ce n'est pas une faille mais un problème de sécurité (comme par exemple le fait d'activer ou pas un parefeu par defaut)

®om

Re : Sudo et la sécurité?

Les programmes en début ou que tu pourrais faire montrerons que l'on peut prendre les droits root par l'intermédiaire de sudo  mais montrerons que ces programmes doivent etre installer par ma pomme et que donc il faut qu'il y est faille en amont ! c'est pourquoi je dit que ce n'est pas une faille mais un problème de sécurité (comme par exemple le fait d'activer ou pas un parefeu par defaut)

Tout à fait... Comme sous Windows, il faut qu'il y ait une faille dans un programme pour qu'un script puisse modifier /etc/hosts (enfin l'équivalent).

La séparation des droits a justement pour but de dire "s'il y a une faille dans un programme exécuté avec les droits de l'utilisateur U, alors il n'a accès qu'aux fichiers accessibles par U (en lecture, écriture, exécution)" (pareil pour le groupe). Le modèle de sécurité prend donc en compte le fait qu'il peut y avoir (=qu'il y a) des failles dans les programmes exécutés, le but c'est juste que l'exploitation de la faille ne se limitera qu'aux actions "accessibles" par l'utilisateur U.

Ce problème de sudo vient, en quelque sorte, contredire l'objectif de la séparation des droits.

C'est comme pour les portes coupe-feu dans un immeuble, s'il y a le feu à un endroit, ça ne doit pas se propager pas aux autres. Alors certes, tu me diras qu'il faut qu'il y ait le feu (qu'il y ait une faille en amont), mais c'est bien d'avoir des portes coupe-feu qui coupent le feu quand cet évènement arrive (c'est le but).

---

®om's blog

philarmonie

Re : Sudo et la sécurité?

C'est comme la fragmentation chez M$: c'est pas un défaut c'est un feature.
Là, Ubuntu a décidé que la nom séparation des droits était un feature et non un défaut

Dernière modification par philarmonie (Le 02/02/2009, à 18:04)

lawl

Re : Sudo et la sécurité?

Tout à fait... Comme sous Windows, il faut qu'il y ait une faille dans un programme pour qu'un script puisse modifier /etc/hosts (enfin l'équivalent).

Tout a fait c'est ce que j'ai dit plus haut dans un de mes post.
Et j'ai même dit que c'est pour cela que je n'aime pas la configuration de sudo dans Ubuntu.

Si on reprend ton histoire de coupe feu on en trouve pas dans tous les bâtiments c'est une question de choix l'investissement/contrainte est elle plus forte que le risque ?
Chez Ubuntu il on du penser que le risque d'utilisation par un programme malveillant est moins important que la souplesse que donne cette configuration de sudo.

philarmonie

Re : Sudo et la sécurité?

Si c'est ce qu'ils pensent chez Ubuntu, alors ça vaut du M$
http://www.vnunet.fr/news/une_faille_de_securite_s_introduit_dans_windows_7-2030028

Dernière modification par philarmonie (Le 02/02/2009, à 18:47)