#201 Le 26/02/2009, à 00:44
- philarmonie
Re : Sudo et la sécurité?
Et le .[shell]rc peut être passé facilement en lecture seule ou en immu(t)able.
comme tu en es le propriétaire, un script peut bien changer les droits dessus?
@loubrix: la faille décrite dans ton lien est assez dangereuse car elle permet de contourner le principe élémentaire qui consiste à ne pas attribuer les droits d'exécution à un fichier téléchargé. Cette possibilité pouvant être contournée en utilisant les fichiers .desktop les scripts malveillants ont là un bon moyen de se propager via les mails.
Et justement quand on nous posait la question: comment un script malveillant exploitant la faille de sudo peut il arriver sur une machine? et bah on a là une réponse possible.
Dernière modification par philarmonie (Le 26/02/2009, à 00:46)
#202 Le 26/02/2009, à 00:49
- Le Farfadet Spatial
Re : Sudo et la sécurité?
Salut à tous !
J'ai suivi toute la discussion, très intéressante.
Je vous donne mes réactions : d'abord, je me suis dit que le scénario de Philharmonie n'était pas du tout crédible. Puis, à la réflexion, je me suis rendu compte qu'il avait bien mis le doigt sur quelque chose.
Ensuite, je me suis dit que Lawl abusait. Pourtant, toujours en y réfléchissant, je me dis qu'il n'a pas tort.
En effet, je pense que le fonctionnement dévoilé dans ce fil de discussion est bien le fonctionnement escompté par les développeurs d'Ubuntu. À mon sens, l'idée est bien que si l'utilisateur met à jour ces sources logiciels, dans la foulée, il doit pouvoir ouvrir Synaptic sans avoir à donner son mot de passe. Donc, il est parfaitement normal que, pendant un quart d'heure, toute application graphique puisse être lancé avec Gksudo sans que l'utilisateur ai besoin de donner son mot de passe.
Conclusion : ce fil de discussion ne révèle pas une bogue ni une faille, mais remet en cause le modèle de sécurité d'Ubuntu.
En matière de sécurité, il faut être conscient qu'il n'y a pas de solution parfaite. Par contre, il existe des solutions plus ou moins verrouillées. Simplement, plus on verrouille et plus on complique la vie de l'utilisateur, il faut donc que la solution de sécurité soit adapté au degré de sensibilité du système. Pour utiliser une image : dans un domicile particulier, on ferme à clef et à la rigueur on utilise une alarme. Dans un quartier de haute sécurité, on met des gardes et des miradors.
Ubuntu s'adresse a priori à des systèmes peu sensibles, tel que des ordinateurs de particuliers ou de petit réseaux domestiques, pour lesquels il faut mettre en place une stratégie de sécurité, mais qui n'a pas besoin d'être trop contraignante. La configuration de sudo telle qu'elle a été mise en place dans Ubuntu protège un peu plus des erreurs de manipulations d'un utilisateur inexpérimenté ou inattentif --- après tout, il s'agit également de sécurité, --- au prix d'une vulnérabilité un peu plus grande aux attaques extérieures. Tout l'intérêt d'avoir plusieurs distributions et même plusieurs systèmes libres c'est qu'il y a le choix entre diverses politiques de sécurités.
Ce fil de discussion montre qu'en effet sudo est un peu moins sécurisé que su. Cependant, le scénario permettant d'utiliser cette plus grande vulnérabilité me semble moins probable que le risque d'un paquet malveillant. Je pense que quelqu'un qui chercherait à mettre en place une stratégie d'intrusion opterait donc plutôt pour le paquet malveillant, qui a plus de chance d'aboutir et de contaminer plus de machines.
Donc, à mon avis, ce fil de discussion mets bien le doigt sur une faiblesse dans la sécurité de Ubuntu, qui n'est toutefois pas énorme et je ne pense pas que ce soit dans la politique de la distribution de la supprimer.
À bientôt.
Le Farfadet Spatial
Dernière modification par Le Farfadet Spatial (Le 26/02/2009, à 00:53)
Hors ligne
#203 Le 26/02/2009, à 00:49
- Link31
Re : Sudo et la sécurité?
Link31 a écrit :Et le .[shell]rc peut être passé facilement en lecture seule ou en immu(t)able.
comme tu en es le propriétaire, un script peut bien changer les droits dessus?
Pas pour le bit immutable.
Hors ligne
#204 Le 26/02/2009, à 00:53
- loubrix
Re : Sudo et la sécurité?
@loubrix: la faille décrite dans ton lien est assez dangereuse car elle permet de contourner le principe élémentaire qui consiste à ne pas attribuer les droits d'exécution à un fichier téléchargé. Cette possibilité pouvant être contournée en utilisant les fichiers .desktop les scripts malveillants ont là un bon moyen de se propager via les mails.
justement, ça me semble bien plus dangereux que le problème avec sudo, et donc necessite une correction...
je me demandais même s'il n'était pas possible d'arriver à ce résultat en ouvrant la pièce jointe sans avoir besoin de l'enregistrer: ne peut-on pas créer une macro dans une présentation en pps, qui mettrait en place le fichier desktop en question?
Asus X50VL - Ubuntu 12.04 AMD64
HP G62 - Ubuntu 12.10 AMD64
Fujitsu-Siemens Amilo EL - Lubuntu 12.04 i686
Manjaro, une rolling pour débutants
Hors ligne
#205 Le 26/02/2009, à 01:00
- ilcorseronero
Re : Sudo et la sécurité?
hehe
sudosaylemal et cenestpasunbug car tousleslinuxiens lesavent
edit: correction touslesGNU/Linuxiens
Dernière modification par ilcorseronero (Le 26/02/2009, à 01:01)
Hors ligne
#206 Le 26/02/2009, à 01:10
- philarmonie
Re : Sudo et la sécurité?
Cependant, le scénario permettant d'utiliser cette plus grande vulnérabilité me semble moins probable que le risque d'un paquet malveillant.
Pas sûr avec l'utilisation des fichiers .desktop et une pièce jointe dans un mail.
C'est clair que là une grosse partie de la faille viens de l'utilisateur mais quand même ça me parait plus simple à utiliser qu'un paquet malveillant, et surtout ça a plus de chance de réussir. Un utilisateur non expérimenté, même s'il fait pas gaffe et fait des conneries, je pense qu'il fera plus facilement confiance à une pièce jointe qu'à un paquet trouvé on ne sait où sur le net.
@link31: ok.
#207 Le 26/02/2009, à 01:39
- Le Farfadet Spatial
Re : Sudo et la sécurité?
Salut à tous !
En effet. Peu probable en admettant que cette dernière faille soit corrigée. Cette correction viendra certainement.
Un utilisateur non expérimenté, même s'il fait pas gaffe et fait des conneries, je pense qu'il fera plus facilement confiance à une pièce jointe qu'à un paquet trouvé on ne sait où sur le net.
Bof. Windows a permis de reproduire de nombreuses fois l'expérience suivante : un novice achète un ordinateur pour naviguer sur Internet. Au bout de quelques temps, il navigue sur des sites proposant plein de programmes faciles à télécharger. Sans se soucier de savoir si c'est bien légal, ni des risques que cela comporte, il télécharge un peu n'importe quoi et se trouve bien vite infecté.
C'est prouvé : un utilisateur novice n'aura bien souvent aucune réticence à utiliser un exécutable trouvé n'importe où sur le net. Or, aucune solution technique ne peu prévenir cette pratique.
De plus, il y a un autre cas : je cherche un programme particulier. Je vais sur un site auquel je fais confiance, par exemple le site officiel du projet. Manque de chance, ce site a été piraté et au lieu du paquet sain que je pense télécharger, c'est un paquet malveillant.
Décidément : la solution du paquet malveillant me semble bien plus efficace.
À bientôt.
Le Farfadet Spatial
Hors ligne
#208 Le 26/02/2009, à 08:33
- jofab
Re : Sudo et la sécurité?
si on part sur le postulat qu'un tel script se retrouve sur mon PC, avec le fichier desktop adéquat, alors il est aisé d'envisager qu'on puisse faire des choses similaires sur un PC sans sudo (en détournant l'utilisation d'un fichier desktop, en lui faisant lancer une commande supplémentaire avec gksu comme démontré dans le lien cité plus haut ); pour se retrouver avec ces fichiers modifiés, ça nécessite un certain nombre d'imprudences de la part de l'utilisateur de la machine
Il existe plein de failles sur un systeme, si lorsque l'on en trouve une nouvelle on dit "ben c'est pas grave car ce que l'on peut faire avec cette faille, on peut deja le faire avec tel autre" - ca me laisse perplexe 
quoiqu'il en soit, le responsable n'est pas sudo,
Bien non car un programme (lancé par exemple par le bashrc donc dans toutes les consoles) peut devenir root sans mdp si on lance une commande avec sudo dans un terminal.
De meme (moins fréqueunt) mais si on lance un programme depuis une console apres une operation admin, il peut silencieusement devenir root.
Ce n'est pas le cas avec su...
Hors ligne
#209 Le 26/02/2009, à 08:49
- lawl
Re : Sudo et la sécurité?
Dire que cet emploi de sudo est une faille est du même niveau que de dire que le fait de pouvoir avoir un accès root et même changer le mot de passe root d'une machine lorsque l'on a un accès physique à la machine est une faille....
Dernière modification par lawl (Le 26/02/2009, à 08:50)
Hors ligne
#210 Le 26/02/2009, à 09:55
- dimi84
Re : Sudo et la sécurité?
Salut
J'ai suivi la discussion depuis le début.
Cela peut s'appliquer sur d'autre distribution.
Par exemple avec gksu sur Debian: à la première utilisation de gksu la case "se souvenir du mot de passe" est cochée, et une fois le mot de passe enregistré, on peut exécuter une application avec gksu sans demander le mot de passe.
Le script fonctionne sur debian sauf il faut remplacer sudo par gksu.
Je ne pense pas que ce soit une faille ou un bug, c'est un choix fait par défaut : sur debian on peut décocher la case "se souvenir du mot de passe" et sur ubuntu on peut mettre "timestamp_timeout=0" dans sudoers
Edite : Sur Eeepc avec xandros il ne demande jamais de mot de passe avec sudo.
Dernière modification par dimi84 (Le 26/02/2009, à 10:29)
Hors ligne
#211 Le 26/02/2009, à 11:19
- philarmonie
Re : Sudo et la sécurité?
Salut à tous !
philarmonie a écrit :En effet. Peu probable en admettant que cette dernière faille soit corrigée. Cette correction viendra certainement.
Peu probable aussi
Several days ago I sent a message to the security teams at Ubuntu and Fedora, asking if they would like to take a look at this before I publish. The Ubuntu team hasn't responded yet, but the Fedora team told me that this is “well-known and expected behavior” and that they have no problem with me publishing this. Well-known and expected? Really? But ok then, here we go.
@ lawl: tu es sérieux quand tu dis ça?
@ dimi84: Xandros fait ça ?? 
et c'est pas cette distribution qui était installée sur les eepc dans le commerce? Si on veut faire connaître Gnu/Linux au particulier en utilisant la vente liée avec ce type de distribution, on a de quoi nous rire au nez.
#212 Le 26/02/2009, à 11:37
- lawl
Re : Sudo et la sécurité?
@ lawl: tu es sérieux quand tu dis ça?
Oui pourquoi ?
Hors ligne
#213 Le 26/02/2009, à 11:47
- philarmonie
Re : Sudo et la sécurité?
@ lawl: tu es sérieux quand tu dis ça?
Oui pourquoi ?
D'une parce que pour avoir un accès root ou changer le mot de passe root il faut déjà connaître le mot de passe root
Et de deux parce que la procédure pour le faire ne nécessite nullement un accès physique à la machine et peut être tout à fait scriptée (toujours à condition de connaître déjà le mot de passe root).
#214 Le 26/02/2009, à 13:01
- lawl
Re : Sudo et la sécurité?
D'une parce que pour avoir un accès root ou changer le mot de passe root il faut déjà connaître le mot de passe root
Pas si tu a un accès physique à la machine et encore heureux que l'on puisse changer le mot de passe de root si on le connaît !
Hors ligne
#215 Le 26/02/2009, à 13:15
- loubrix
Re : Sudo et la sécurité?
Il existe plein de failles sur un systeme, si lorsque l'on en trouve une nouvelle on dit "ben c'est pas grave car ce que l'on peut faire avec cette faille, on peut deja le faire avec tel autre" - ca me laisse perplexe
je n'ai pas dis ça; j'ai juste dit que la faille 2 a besoin de la faille 1 pour être exploitée, et que la faille 1 peut donner accès à des failles 3, 4, 5...
il me semble dans ce cas plus urgent de corriger en premier la faille 1, car sans elle, pas de faille 2, 3, 4...etc.
De meme (moins fréqueunt) mais si on lance un programme depuis une console apres une operation admin, il peut silencieusement devenir root.
Ce n'est pas le cas avec su...
il faut tout même réutiliser sudo avec chaque commande, donc même si le mot de passe n'est plus demandé, on sait qu'on est admin (sauf utilisation de l'option "-s").
avec su, tu restes root tant que tu n'as pas fait un "exit" (ou fermé ton terminal)...
D'une parce que pour avoir un accès root ou changer le mot de passe root il faut déjà connaître le mot de passe root
pas nécessairement: avec un démarrage en mode rescue, tu as un accès root sans saisir un mot de passe...
l'accès possible à la machine fait sauter toutes les sécurités: un live-CD et on fait ce qu'on veut (ou alors, mot de passe au bios, cadenas sur le boitier...).
Asus X50VL - Ubuntu 12.04 AMD64
HP G62 - Ubuntu 12.10 AMD64
Fujitsu-Siemens Amilo EL - Lubuntu 12.04 i686
Manjaro, une rolling pour débutants
Hors ligne
#216 Le 26/02/2009, à 14:02
- philarmonie
Re : Sudo et la sécurité?
Bon bah j'abandonne, j'espère juste que vous bossez pas pour des boîtes faisant des audits de sécurité.
#217 Le 26/02/2009, à 14:52
- Le Farfadet Spatial
Re : Sudo et la sécurité?
Salut à tous !
Peu probable aussi
foobar a écrit :Several days ago I sent a message to the security teams at Ubuntu and Fedora, asking if they would like to take a look at this before I publish. The Ubuntu team hasn't responded yet, but the Fedora team told me that this is “well-known and expected behavior” and that they have no problem with me publishing this. Well-known and expected? Really? But ok then, here we go.
D'accord, au temps pour moi.
j'espère juste que vous bossez pas pour des boîtes faisant des audits de sécurité
Le truc, c'est qu'en sécurité chacun a son point de vue, pas nécessairement compatible avec celui du voisin. C'est d'ailleurs la raison pour laquelle, plutôt que de faire un schéma de sécurité immuable, le noyau Linux intégre les Linux Security Modules, que d'aucuns contestent d'ailleurs...
Ce qu'il faut, c'est mettre en place une stratégie de sécurité cohérente et adaptée au degré de sensibilité du système considéré. Au moins, pour l'instant, dans ce fil de discussion n'est-il jamais mis en évidence une faille qui puisse être exploitée sans le téléchargement et l'exécution délibérée de la part de l'utilisateur d'un script malveillant ou le téléchargement et l'installation délibérée par l'utilisateur d'un paquet malveillant.
Sinon, par rapport à ce qui est présenté dans ce fil de discussion, on peu s'en prémunir en installant une Debian, bien évidemment sans sauvegarde du mot de passe (ce qui me semble aller de soi) et en utilisant un autre environnement que KDE ou Gnome --- non que les fichiers .desktop n'existe pas dans les autres environnements, mais étant moins utilisés, ils sont moins attirants pour se donner la peine de mettre en place une stratégie d'infection.
Pour le reste, les problèmes ont été remontés aux différents développeurs des différents projets mis en cause et j'ai bien l'impression que la contrainte en terme de facilité d'utilisation que cela induit fasse que ni KDE, ni Gnome, ni Ubuntu ne changeront cela, du moins tant qu'il n'a pas été prouvé que ces faiblesses peuvent être exploitées sans téléchargement et exécution délibérés de l'utilisateur.
À bientôt.
Le Farfadet Spatial
Hors ligne
#218 Le 26/02/2009, à 15:15
- philarmonie
Re : Sudo et la sécurité?
Le truc, c'est qu'en sécurité chacun a son point de vue, pas nécessairement compatible avec celui du voisin.
Je suis entièrement d'accord avec toi, il n'y a pas de politique universelle de sécurité et chacun choisit la sienne.
Par exemple le cas ici présent de sudo montre une faille de sécurité. Après on peut discuter sur le choix ou non de la conserver en fonction des avantages que la fonctionnalité, à l'origine de la faille, offre et de la difficulté de pouvoir exploiter cette faille (il faut déjà qu'un script malveillant puisse s'exécuter à l'insu de l'utilisateur).
On dérive ainsi sur une discussion concernant des choix dans une politique sécuritaire: qu'Ubuntu (pour sudo) ou les développeurs Gnome et KDE (pour les .desktop) décident de laisser les choses en l'état et fassent un choix dans leur politique de sécurité (en y laissant certaines failles) parce qu'ils considèrent que les avantages qu'on en retire sont supérieurs au risque qui est engendré, je peux le comprendre.
Par contre quand on me dit « ce n'est pas une faille », là je m'inquiète pour la personne qui émet ce jugement.
Edit: l'utilisation du mode recovery pour obtenir un accès root, ou d'un live-cd qui permet de faire comme tel en effaçant et réinstallant complètement le système sont des failles de sécurité. Après on conserve ou non ses fonctionnalités en pesant la balance avantage-contrainte (choix de la politique de sécurité) mais ça n'en est pas moins des failles.
Dernière modification par philarmonie (Le 26/02/2009, à 15:22)
#219 Le 26/02/2009, à 15:28
- jofab
Re : Sudo et la sécurité?
De meme (moins fréqueunt) mais si on lance un programme depuis une console apres une operation admin, il peut silencieusement devenir root.
Ce n'est pas le cas avec su...il faut tout même réutiliser sudo avec chaque commande, donc même si le mot de passe n'est plus demandé, on sait qu'on est admin (sauf utilisation de l'option "-s").
Pas d'accord, et c'est la le probleme : un programme lancé dans un console ou tu fais un sudo peut devenir root meme si tu ne l'as pas appelé avec sudo... Et ca c'est bien un faille !
Hors ligne
#220 Le 26/02/2009, à 15:39
- jofab
Re : Sudo et la sécurité?
Cela peut s'appliquer sur d'autre distribution.
Par exemple avec gksu sur Debian: à la première utilisation de gksu la case "se souvenir du mot de passe" est cochée, et une fois le mot de passe enregistré, on peut exécuter une application avec gksu sans demander le mot de passe.
Le script fonctionne sur debian sauf il faut remplacer sudo par gksu.
Je ne pense pas que ce soit une faille ou un bug, c'est un choix fait par défaut : sur debian on peut décocher la case "se souvenir du mot de passe" et sur ubuntu on peut mettre "timestamp_timeout=0" dans sudoers
Edite : Sur Eeepc avec xandros il ne demande jamais de mot de passe avec sudo.
Il n'y a plus vraiment de barriere entre l'utilisateur courrant et le root... On va finir avec un systeme à la win ou lorsque l'on cree un utilisateur, on a deux choix possibles : admin ou pas et lorsqu'il est admin bien il peut faire ce qu'il veut sans mdp... C'est certain que c'est plus simple à utiliser pour le grand public et chacun fait ses choix en terme de securité mais n'appelez plus ca linux ! (et ne dites pas ce n'est pas une faille ! Dites j'ai conscience que cette faille est ouverte)
Hors ligne
#221 Le 26/02/2009, à 16:39
- Le Farfadet Spatial
Re : Sudo et la sécurité?
Salut à tous !
Il n'y a plus vraiment de barriere entre l'utilisateur courrant et le root... On va finir avec un systeme à la win ou lorsque l'on cree un utilisateur, on a deux choix possibles : admin ou pas et lorsqu'il est admin bien il peut faire ce qu'il veut sans mdp... C'est certain que c'est plus simple à utiliser pour le grand public et chacun fait ses choix en terme de securité mais n'appelez plus ca linux !
N'exagérons rien tout de même : il reste une distinction entre utilisateur normal et administrateur. Justement, on ne peux pas se connecter en tant qu'administrateur, juste en obtenir pour une durée limitée les prérogatives.
Il ne faut pas minimiser le problème, mais il ne faut pas non plus trop le monter en épingle : il existe depuis 2002 (lancement du projet Gksu) et même depuis 1996 pour les .desktop (lancement du projet KDE). Or, ça n'a jamais été exploité. On est très loin du cas de Windows, où un ordinateur sans anti-virus connecté à Internet est infecté en moins de 2 minutes. Et difficile de parler de faille alors qu'il s'agit exactement du fonctionnement recherché et sachant que l'exploitation de la faiblesse demande plusieurs erreurs de la part de l'utilisateur. Il y a un moment où il faut être raisonnable. Comment empêcher que l'administrateur système, dans un moment de folie, ne tape :
$ su
# rm -rf /À partir du moment où il y a un (il suffit d'un seul) utilisateur d'un système, il y a une faiblesse dans la sécurité. Encore une fois : ce qu'il faut, c'est opter pour une politique de sécurité cohérente et en accord avec le degré de sensibilité du système. En accord également avec le public utilisant le système : un ordinateur fonctionnant sous Ubuntu a sans doute plus à craindre des manipulations douteuses d'un utilisateur peu technicien et ça aussi c'est une question de sécurité des données du système. En ce sens, supprimer le mot de passe du compte root est cohérent.
De plus, Unix et les systèmes en découlant font l'amalgame entre compte système et compte administrateur, une distinction que fait par exemple Windows. Tout n'est pas blanc ou noir.
Oui, ce fil de discussion met en exergue une faiblesse dans la politique de sécurité d'Ubuntu. Mais cette faiblesse reste limitée. Et n'oublions pas que PolicyKit va bientôt changer la donne.
Enfin, Linux ce n'est pas Windows avec un meilleur modèle de sécurité, c'est tout autre chose. Linux n'a pas du tout été créé en réaction à Windows --- en 1991, Windows n'avait rien à voir avec ce qu'il est maintenant --- et encore moins GNU, initié en 1984.
À bientôt.
Le Farfadet Spatial
Hors ligne
#222 Le 26/02/2009, à 16:48
- dimi84
Re : Sudo et la sécurité?
Sudo ne contient pas de faille, c'est la configuration qui peut entraîner une faille.
Il faut faire un choix entre la facilité pour l'utilisateur et la sécurité.
Un utilisateur débutant qui connaît que windows, n'a pas l'habitude de taper le mot de passe pour l'administration de son l'ordinateur. (Quand j'ai installé ubuntu chez un ami la première chose qu'on m'a dit c'est comment enlevé le mot de passe).
Dernière modification par dimi84 (Le 26/02/2009, à 16:49)
Hors ligne
#223 Le 26/02/2009, à 16:52
- philarmonie
Re : Sudo et la sécurité?
N'exagérons rien tout de même : il reste une distinction entre utilisateur normal et administrateur. Justement, on ne peux pas se connecter en tant qu'administrateur, juste en obtenir pour une durée limitée les prérogatives.
Je pense que Jofab faisait ici référence au choix de la politique de Xandros qui est de pouvoir utiliser sudo sans mot de passe, et là effectivement la barrière utilisateur-administrateur tombe d'elle même. L'utilisateur principal est au fond connecter en tant que root.
Après reste à savoir si Xandros a bien ce choix, j'avoue que j'ai du mal à y croire.
Sinon pour le reste je partage ton avis.
#224 Le 26/02/2009, à 16:57
- philarmonie
Re : Sudo et la sécurité?
Sudo ne contient pas de faille, c'est la configuration qui peut entraîner une faille.
Oui c'est ce qu'on a toujours dit il me semble.
Une faille pour sudo serait par exemple de pouvoir l'utiliser en outrepassant le contenu du fichier sudoers, mais à ma connaissance ça n'a jamais était constaté.
#225 Le 26/02/2009, à 17:03
- dimi84
Re : Sudo et la sécurité?
Je connais quelqu'un qui a un Eeepc avec xandros et il ne demande jamais de mot de passe.
Il n'est pas le seul :
http://forum.ubuntu-fr.org/viewtopic.php?id=197591
http://www.linuxpourlesnuls.org/docuwik … er_xandros
Hors ligne