Humeurs, critiques et louanges

De la Sécurité sur Mac OS X.

21/09/02 - Par gP - Guillaume nous signalait le 22 septembre dernier, l’arrivée d’une nouvelle Mise à jour de sécurité. Ce qui me conduit à d'extravagantes supputations.
Depuis la sortie de Mac OS X 10.1, j'ai le sentiment qu'Apple se fait un devoir de jouer la Sécurité. J'ai recensé pas moins de huit Mises à Jour, autour de cette sacrebleu sécurity. Sans compter les indétectables, puisque certainement intégrés, dans celles de Mac OS, lui-même. Quand on lit les maigres explications qu'Apple nous donne, on s'aperçoit que cela s'adresse, en général, à la partie Unixienne de l'OS : OpenSSL, SunRPC, Apache, OpenSSH, mod_ssl, etc. Je n'y connais pas grand chose - et c'est tant mieux - mais je me rend bien compte que cela concerne plus, les administrateurs Réseau et les serveurs, que nous, utilisateurs lambda. Que pourrions-nous connaître, dans ces millions de lignes de programmation, des portes d'entrée, des interstices et des trous de sécurité? Nous laissons ça, aux "bouffeurs de code" en les en remerciant!

Apple en fait un des points forts de sa communication en y dédiant une page particulière sur son site : Une sécurité optimale. Les switcheurs n'en seront que plus acquis. Et c'est très bien. D'abord c'est un signal fort vers les entreprises, perpétuellement angoissées - avec raison - par leur sécurité interne. Là, c'est Apple soi-même, qui informe que des failles découvertes sont obturées, et non pas des développeurs extérieurs qui préviennent la communauté informatique des trous de sécurité découverts chez qui vous savez! Ensuite pour nous, c'est le gage, que même si on n'y connaît rien, même si on touche à rien, notre sécurité est au maximum garantie et surveillée par Apple. De même que l'abonnement à .Mac - payant je vous le concède - donne le droit de téléchargement et d'utilisation du logiciel Anti-virus Virex de McAfee et participe du mouvement de renforcement de la sécurité.

MacPlus nous apporte des précisions sur la dernière, celle du 20/09/02. Elle concernerait bien le Terminal (GG l'avait déjà dit). Ils précisent bien qu'elle est indispensable. Rendez-vous compte, ils utiliseraient le Terminal dans notre dos. Alors que nous, on osent même pas le regarder. :-( Pourtant notre GG International, vous a déjà fortement "éducationné" sur la barbe de Léonard le Génie.

Avant Mac OS X, notre Système d'exploitation était dit "propriétaire" (ne pouvant fonctionner que sur un seul type d'ordinateur), et peu de pirates perdaient leur temps à essayer de nous infecter, ou de s'introduire dans nos ordinateurs - 4/5% du parc installé, ça vaut même pas le coup! Maintenant avec FreeBSD au cœur de notre Système d'exploitation, la donne est différente. FreeBSD est un Système ouvert à tout le monde (En Open Source, on dit), et la quantité de sales petits malapris devient de ce fait, beaucoup plus prolifique. Mais par contre coup, la communauté, toute aussi importante, de développeurs FreeBSD, nous apporte son savoir faire et renforce notre protection. CQFD.

Il est certain que, si l'on n'a pas été mettre le 9-3 pardon, le "Bronx" dans le Gestionnaire NetInfo ou le Firewall - Pare-feu - de Partage, on court beaucoup moins de risque(s). Tout est désactivé par défaut, merci Apple. Avant de tripatouiller Le Firewall par défaut, ou celui fourni par une société tierce, comme Symantec, Intego, ou BrickHouse, un minimum de connaissances est indispensable. Un peu de lectures n'a jamais fait de mal. Ou alors se faire aider par quelqu'un qui en connaît un rayon. Non, non pas moi! j'y connais rien du tout.

Certes, ce n'est pas rassurant, et plus tôt casse-pieds, de devoir télécharger des Mises à jour, presque tous les mois, en plus de devoir le faire (tout le monde n'a pas de liaison Internet en haut-débit). Mais c'est un mal nécessaire. «Mieux vaut prévenir que guérir», dicton de bon aloi, ici. Et c'est ce que fait la Pomme.

Quand je vois dans la boite où je travaille - Non GG! Non! s.t.p. pas de commentaire! - les trois "gentils" Administrateurs Réseau, ausculter environ 120 PC sous Windows NT, infectés par la messagerie Exchange de Microsoft, afin de d'éradiquer le dernier virus entré par : "y savent pas où". Moi et les personnes du Studio graphique (5/6 Mac), on pouffent dans notre coin. Même moi, téméraire, relié au Réseau Exchange avec "Outlook 2001 for Mac", y-en a même pas de problèmes (ça y z'aiment pas). Y-en a qui ont eu droit au célèbre algorithme Windowsien : "Format C:". Faut pas rigoler!!. Ça peut vous couler une boite, ces cochonneries : une bonne après-midi non-productive sur une bonne centaine de poste, Arghhh...
Désolé, mais c'est une histoire vrai de chez vécu. Je peux vous fournir les mails de quelques individus "vérolés".

Qu'en passant ici, soit remercier le rédacteur du défunt site, Mac Propre, disparu depuis déjà quelques mois. C'était le seul site, à ma connaissance, qui répertoriait ces "cochonneries" pour notre plate-forme. C'est lui qui m'a suggéré que j'avais certainement un virus sur mon G3 B&W, chopé sur un CD d'Univers Mac, et qui me pourrissait le Démarrage. Pour la petite histoire j'ai eu un p'tit virus, en 1991 et un autre en 1999. Ça n'arrive pas qu'aux autres. Ils étaient bénins, mais quand même, deux en dix ans ;-)

Mais que cela ne soit pas une excuse pour ne pas protéger vos données. Je n'aurai de cesse de le répéter : Sauvegardez vos données régulièrement! Et cela sur une sauvegarde externe. L'investissement dans un Disque Dur externe est le premier cadeau à faire à votre Mac. Et il sera son meilleur ami. On n'est jamais trop prudent, disait ma grand-mère et certainement la vôtre. Et n'hésitez pas dans le cas de données sensibles, à doubler voire tripler vos sauvegardes, sur CD-Rom par exemple. Non, ce n'est pas de la parano, vous n'avez pas déjà remarqué, que lorsqu'il arrive un gros problème, la loi des séries entre en scène. Votre Mac plante, impossible de démarrer sur le Disque Dur et voilà t-y pas que c'est la même chose sur le disque externe! Si, si ça arrive, croyez-moi. Mais j'insite, ces sur-précautions sont pour vos données sensibles. Tiens parlez-en à votre comptable, oui celui de votre entreprise...

Les Mises à jour de Sécurité que j'ai relevé :

- Security Update 2002-09-20 - 20/09/02 - Security Update 2002-08-20 - 20/08/02
- Security Update 2002-08-23 - 23/08/02 - Security Update 2002-08-02 - 02/08/02
- Security Update 7-18-02 - 20/07/02 - Security Update v 1.0 - 05/04/02
- Mac OS X v10.1 Security Update - 24/10/01 - Installer Update - 09/11/01
- Je crois me rappeler, aussi, qu'il y a eu un Mise à jour pour QuickTime?

Glossaire :

• OpenSSL : Logiciel de cryptographie Réseau en "Secure Sockets Layer" - Ports avec avec une couche réseau sécurisé - Protocole permettant la transmission sécurisée de formulaires sur le Web. Permets, aussi, d'émettre soi-même des certificats numériques;
• SunRPC : Ensemble de procédures, "Remote Procedure Call" - Procédure de Commandes de Communication - Permets d’établir des connexions avec NFS "Network File System" - Système de Fichiers Réseau - de Port à Port;
• Apache : Logiciel permettant d'avoir sur son Mac un Serveur de fichiers, disponible sur un Réseau;
• OpenSSH : Logiciel activant le protocole SSH, "Secure SHell". Permets d'exécuter des Commandes ou de transférer des fichiers de manière sécurisée (Alternative à Telnet/FTP);
• mod-ssl : Module pour Apache permettant d'activer la couche réseau sécurisée, SSL. Utilisé pour le commerce électronique.
  Merci à Rodolphe Simonetti, connaissance Unixienne de longue date, de ces informations pour les définitions ci-dessus.
• Firewall : Dispositif informatique qui permet le passage sélectif des flux d'information entre un réseau interne et un réseau public, ainsi que la neutralisation des tentatives de pénétration en provenance du réseau public.
  Notes : Le terme coupe-feu peut désigner plusieurs types de dispositifs de sécurité. Il peut s'agir d'un routeur (routeur filtrant), d'une station équipée de deux interfaces réseaux (bastion Internet), ou encore d'une combinaison de ces deux systèmes.
  Les termes les plus largement répandus en français pour désigner ce dispositif sont : coupe-feu et pare-feu.
  La Commission générale de terminologie et de néologie de France a adopté les termes barrière de sécurité et pare-feu.
  Merci, Le Grand Dictionnaire Terminologique.

Post-Scriptum (écrit-après) : Tout ça, n'a pas empêché l'affaire Proteron : Envoi, à l'insu de son plein gré, de données personnelles vers le serveur des développeurs!
Ce qui n'empêche pas non plus de recevoir des mails du monde PC - merci MS Outlook - avec "virus intégrés". Encore heureux que ces p@%# de .exe (exécutable Windows) ne s'ouvrent toujours pas sur Mac. Re-merci Apple.