La sécurité sous GNU/Linux

Ceci est une ancienne révision du document !

Il conviendrait de mettre à jour cet article pour y retirer tous les lieux communs et faire une digne présentation des Antivirus et de la Sécurité sous Linux, et non pas un simple rapport Linux/Windows fourre-tout ou une apologie du Linux parfait.
Prendre exemple sur le wiki anglais :
https://help.ubuntu.com/community/Linuxvirus
http://en.wikipedia.org/wiki/Linux_malware
…

Les systèmes d'exploitation GNU/Linux, Unix et « Unix-like » sont en général considérés comme protégés des virus informatiques. En effet, jusqu'ici, aucun virus opérant sous Linux n'a été répertorié comme étant très répandu, comme c'est parfois le cas avec Microsoft Windows. Ceci est souvent attribué au fait que les virus Linux ne peuvent accéder aux privilèges « root » et à la rapidité des corrections pour la plupart des vulnérabilités de Linux. Un autre facteur est le fait qu'il y a moins d'incitations pour un programmeur à écrire des malwares opérant sous Linux :

il est très répandu sur les serveurs (il est utilisé par exemple par Google et Wikipédia) et les superordinateurs, mais ceux-ci sont la plupart du temps gérés par des professionnels formés aux enjeux de la sécurité informatique ;
il est assez peu répandu sur le marché des ordinateurs personnels, meilleurs vecteurs de propagation des malwares en raison de la fréquente inexpérience de leurs utilisateurs.

Le nombre de programmes malicieux (incluant les virus, Trojans et autres types) sous Linux a augmenté ces dernières années, et plus particulièrement doublé en 2005, passant de 422 à 863.

Source : Présentation sous wikipedia

Les virus sont aussi sur vos routeurs et BOX ADSL :

Un ver se constitue un botnet de routeurs équipés Linux (psyb0t)
Chuck Norris Botnet Karate-chops Routers Hard (chuck norris)

Solution à ce jour :

réinitialiser le routeur pour le remettre en configuration d'origine
Ou installer un driver libre que vous pourrez mettre à jour et surveiller l'activité : c'est d'ailleurs le seul moyen car vous n'avez pas la possibilité de voir l'activité avec les pilotes par défaut ( qui sont comme beaucoup de choses propriétaires pas mis à jour pour la sécurité, ou l'industriel a fermé) .

Il faut savoir que les pirates informatiques cherchent avant tout à nuire au plus grand nombre. Or Windows© représente plus de 90 % de part du marché sur les ordinateurs de bureau ; les pirates s'attaquent donc logiquement en priorité à ce système d'exploitation. Cependant il existe aussi des domaines où GNU/Linux s'impose, tout en restant fiable et plus sécuritaire que les systèmes Microsoft©. Comme dans le domaine des serveurs où GNU/Linux s'impose comme une référence !

Les systèmes basés sur GNU/Linux possèdent une gestion différente des droits sur votre ordinateur. En effet, alors que Windows© est de base très laxiste sur des paramètres de sécurité (c'est à vous de renforcer), GNU/Linux, lui, est totalement fermé et c'est à vous (à vos risques et périls) de libérer les droits au fur et à mesure. Ainsi vous êtes protégé des manipulations malencontreuses que vous pourriez réaliser par mégarde, mais vous êtes aussi protégé des maliciels. Pourquoi ? Parce que pour s'installer, un logiciel a besoin de droits d'installation ! Or, si sous Windows©, il a le droit de s'installer (à cause de la politique du système), sous GNU/Linux, il est obligé de « demander l'autorisation à l'administrateur », c'est-à-dire vous. Les virus sous GNU/Linux ne peuvent donc pas s'installer et agir sur le système à leur guise, vous êtes le seul maître de votre machine.

Enfin, les failles de sécurité sous GNU/Linux sont de loin moins nombreuses que sous Windows©. En effet, les applications utilisées par GNU/Linux sont des logiciels libres ; chacun est donc libre d'analyser et de modifier le code source même de ce système d'exploitation. Ainsi, en cas de faille ou d'attaque, ce n'est pas une poignée de programmeurs qui retrousse ses manches pour corriger le problème, mais une bonne centaine de bénévoles ! La communauté GNU/Linux reste très réactive à ces failles ! Donc si vous faites les mises à jour il est très probable qu'un virus d'hier ne marche déjà plus aujourd'hui !

Cette page se donne pour objectif d'expliquer pourquoi il est généralement peu utile d'installer un antivirus sous un système d'exploitation GNU/Linux, dans le cadre d'une utilisation du type « ordinateur personnel » (dite poste client). Le risque zéro n'existe cependant pas et d'autres points de vue existent quant à la sécurité et aux virus sous GNU/Linux.

Une erreur commune en matière de sécurité consiste à croire que GNU/Linux étant peu utilisé, il n'intéresse aucun pirate. Il ne faut pas oublier que les distributions basées sur GNU/Linux sont utilisées sur une grande partie des serveurs web, et constituent de facto une cible privilégiée pour de nombreuses attaques.

L'existence d'antivirus dédiés à GNU/Linux amène à s'intéresser aux possibilités d'existence et de propagation des virus sous GNU/Linux. Les types de virus les plus courants pour un utilisateur lambda sont :

les virus cachés dans une pièce jointe d'un courriel ;
les virus qui s'attaquent à une faille d'un logiciel, par exemple les attaques par dépassement de tampon (buffer overflow).

Il est également intéressant de penser que des fichiers "infectés", s'ils sont totalement inoffensifs sur un système GNU/Linux, risquent en revanche d'arriver chez vos contacts sous Windows (transfert d'une photo à un ami par exemple). Pour empêcher cette propagation, il peut être intéressant de posséder un antivirus.

Ces programmes ne sont pas à proprement parler des virus, puisqu'ils n'ont pas pour objectif de porter atteinte à l'intégrité du système d'exploitation. Ils se « contenteront » d'attaquer les fichiers utilisateurs (vos données personnelles, c'est-à-dire la plupart des fichiers du dossier « /home/[utilisateur] »).

Le système de droits d'accès aux fichiers qui existe sous GNU/Linux rend extrêmement robuste le système (voir aussi, Sécurité), mais la protection des données de l'utilisateur est maigre. Cependant, la situation est toujours meilleure que sous Windows où, jusqu'à la version Vista exclue (mais en partie seulement), les fichiers essentiels au système d'exploitation ne sont pas différenciés des fichiers personnels ‒ si bien qu'une attaque par un programme malicieux peut avoir le même résultat qu'une attaque d'un virus : la perte pure et simple du système d'exploitation. GNU/Linux permet de limiter la casse, mais la destruction des données personnelles reste possible.

Aussi :

à moins qu'il ne vienne de source sûre (site officiel d'Ubuntu, d'un grand prestataire de service, etc.), n'exécutez pas un programme trouvé sur Internet sans qu'il n'ait été vérifié par quelqu'un de compétent. On peut, par exemple, être relativement confiant dans le fait que Envy soit sûr puisqu'il est très utilisé et a déjà été vérifié, mais un obscur programme téléchargé sur un site personnel n'offre pas la même garantie. N'hésitez pas à venir poser la question sur le forum Ubuntu-fr avant de l'utiliser ;
idem pour les paquets que vous pourrez trouver ici et là. Préférez les dépôts officiels d'Ubuntu, car un paquet (extension « .deb », « .rpm ») peut contenir des instructions de pré-installation et de post-installation : ces fonctionnalités pourraient très bien être utilisées pour détruire vos données !

En résumé, sous GNU/Linux, grâce à la gestion de droits d'accès, votre système est à l'abri, mais vos données ne le sont pas nécessairement. Aucun antivirus ne vous protègera d'un script malicieux, car son rôle n'est pas de protéger les données utilisateurs mais le système d'exploitation. D'une certaine manière, un antivirus est donc inutile et le premier maillon de la sécurité de votre système, c'est vous.

Vous avez peut-être déjà constaté qu'un fichier téléchargé sous GNU/Linux n'est pas par défaut exécutable. Si vous voulez vérifier cela, tapez dans une console « touch test.sh » puis « ./test.sh ». Le message « Permission denied » qui s'affiche stipule que l'accès à ce fichier en exécution est interdit. Il est cependant possible de le modifier (accès en écriture) et d'en lire le contenu (accès en lecture). Ce trio lecture-écriture-exécution constitue la base du système de droits d'accès aux fichiers. Pour un script, la lecture signifie la possibilité d'édition dans un éditeur de texte, l'écriture signifie la possibilité de conserver (sauvegarder) les modifications, et l'exécution signifie la possibilité de lancer le script pour effectuer les tâches programmées. Le droit d'exécution est donc l'élément crucial dans la chaîne de sécurité.

Pour des raisons évidentes de sécurité, GNU/Linux requiert que soit manuellement et volontairement donnée l'autorisation à un fichier de s'exécuter. Cela implique que vous ne pouvez pas contracter un virus sans l'avoir lancé intentionnellement, c'est-à-dire sans lui avoir donné l'autorisation de s'exécuter. Cette différence entre un fichier exécutable et un fichier lisible, qui n'existe pas sous Windows, vous met à l'abri des virus envoyés par courriel : reçus dans l'espace d'exécution utilisateur, ils ne peuvent pas s'exécuter dans l'espace administrateur (root) et ne peuvent donc pas altérer le système d'exploitation.

Attention, dans les archives compressées (du type .tar.gz, .tar.bz2, etc.) les fichiers conservent les droits qu'ils avaient au moment de l'archivage. Ainsi, vous pouvez très bien tomber sur un fichier exécutable après son désarchivage. Évidemment, la nécessité de donner un mot de passe administrateur constitue une seconde protection, mais restez méfiants quand de tels fichiers archives vous sont communiqués par des tiers inconnus.

Le « dépassement de tampon » ou buffer overflow est un type d'attaque lié à l'utilisation mémoire (voir l'article de Wikipédia). À la différence d'un virus cherchant à s'exécuter avec les privilèges de l'administrateur, un virus du type buffer overflow sera typiquement orienté vers la prise de contrôle d'un programme utilisateur habituellement sécurisé et possédant des accès ponctuels à des parties du système d'exploitation. Cette prise de contrôle fait intervenir des mécanismes complexes de détournement de la gestion de la mémoire allouée aux programmes de l'espace utilisateur. Concrètement, ces virus peuvent être actifs sans que vous n'ayez donné d'autorisation explicite d'exécution.

Ces virus sont rares sous GNU/Linux, car les possibilités réelles de détourner un programme utilisateur pour corrompre finement le système d'exploitation sont faibles. L'installation de programmes certifiés, programmés avec les outils sécurisés des langages de programmation de haut niveau, limite considérablement les risques. Les chevaux de Troie sont de fait essentiellement développés en vue d'attaque de serveurs et non de postes personnels. Cependant, l'éventualité d'être contaminé par un virus effectuant des attaques du type « dépassement de tampon » n'est pas à écarter et peut constituer un argument pour l'installation d'un antivirus.

Si vous ne vous sentez pas protégé, vous pouvez aussi installer des antivirus portés sous GNU/Linux. Les logiciels antivirus fonctionnent classiquement en se basant sur l'exploitation de base de données de virus, complétées par des méthodes de détection diverses. Cependant, ces Antivirus bien que disponibles sous GNU/Linux, utilisent une base de données de virus développés pour Windows. Or ces virus sont inoffensifs sous GNU/Linux, aussi ces logiciels n'apportent aucune protection autre que l'éventuelle détection de comportements suspects.

À titre indicatif voir la page rootkit pour les antivirus (anti-rootkits) sous Linux. Cela ne change pas le fait que ces logiciels seront inutiles dans 99% des cas.

Quelques antivirus fonctionnels sous Linux :

Clam AV - Clam AntiVirus ; installation et utilisation.
p3scan pour les emails
Propriétaires :
- Kaspersky Antivirus
- ESET File Security : protection antivirus pour serveurs de fichiers Linux, BSD, et Solaris ; consomme le moins de ressource et est parmi les meilleurs - le meilleur antivirus pour les virus inconnus / nouveaux ( d'après les tests, et résultats ).
- ESET NOD32 Antivirus pour Linux, pour les postes de travail (en version Bêta gratuite).
- BitDefender - BitDefender Antivirus ; installation et utilisation.
- Avast Linux Edition Familiale - Avast Antivirus ; installation et utilisation.
- Panda Antivirus - Panda Antivirus ; installation et utilisation.
- AVG(fr)
- Avira Antivir PE Classic(en)
- Avira Desktop for Unix - Shareware qui à terme doit remplacer Antivir
- Trend Micro Version d'essai

Voir :

Le site AV Comparatives pour des tests neutres - mises à jour fréquentes .<note warning>Lien invalide</note>

EDIT: Lien mort Je ne saurai trouver un bon comparatif pour remplacer celui ci. Désolé

Si un antivirus n'est pas franchement utile sur un poste client (ordinateur personnel), il peut trouver son utilité sur un serveur ‒ par exemple un serveur mail connecté à des clients Windows : car si le serveur en question n'est pas lui-même en danger, l'anti-virus peut éviter des propagations et ainsi protéger les clients Windows. On peut alors utiliser un antivirus opensource comme ClamAV ou bien des produits commerciaux proposés par différentes sociétés éditrices d'antivirus.