fkvn Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 (modifié) bonjour à tous voici le lien d'un article que j'ai lu ce matin sur 20 minutes: voir ici Froyo : Android est sérieusement fêlé du noyau 0 commentaires Créé le 03.11.10 à 14h30 -- Mis à jour le 03.11.10 à 14h30 Froyo : Android est sérieusement fêlé du noyau Froyo : Android est sérieusement fêlé du noyau Gizmodo.fr Oyez, oyez… Froyez, froyez… ou plutôt fuyez, fuyez, car le Froyo d’Android est vérolé. Cette mouture du système d’exploitation mobile de Google est une véritable passoire avec déjà 88 failles de sécurité identifiées. Depuis que les téléphones sont devenus de véritables petits ordinateurs communicants, les lignes de code s’allongent. De ce fait, le débogage prend une importance cruciale pour éviter de provoquer des dysfonctionnements ou de laisser des failles béantes. Mais apparemment l’écrémage n’a pas été effectué correctement pour Froyo: l’entreprise de sécurité informatique Coverity a analysé le noyau Android Froyo d’un HTC Droid Incredible et y a détecté 359 bugs, parmi lesquels 88 failles de sécurité majeures. Ce genre de révélation est de nature à faire réfléchir à deux fois les entreprises, particulièrement chatouilleuses on le sait sur le volet sécurité. C’est d’autant plus gênant que le succès et la large diffusion du système d’exploitation Android ne peuvent qu’attirer les pirates de tous poils. Coverity n’a pas dévoilé les failles pour laisser le temps à Google de corriger le tir et de colmater les brèches avec de la crème bien épaisse. [eweekeurope.co.uk] Gizmodo.fr en partenariat avec 20minutes.fr ça me laisse perplexe....vos réactions ? à bientôt FKVN ps : si je ne post pas au bon endroit ou si un autre forum est plus approprié, merci de le déplacer ;) Modifié 4 novembre 2010 par fkvn Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rubixcube Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 (modifié) qu'il y ai des failles, ok, autant, ça me parait louche. Google sait ce que c'est que le développement et ça m'étonnerait qu'ils laissent autant d'erreurs critiques. de plus, on va faire la même analyse qu'en cours d'histoire géo en 5ème, en premier on regarde la source. 20minutes.fr. ha ouai, c'est sur, eux ce sont les meilleurs en informatique embarqué. En étant aller voir à la source (publication de chez Coverity), ils disent avoir trouver ces failles dans le kernel, les kernels étant différents d'un téléphone à un autre, on peut supposer que le nombre de failles est moins importants sur d'autres kernels. De plus, ils ont fait les test sur un droid incredible. CAD SOUS SENSE. LOLILOL. Il serait donc plus convenables de dire que sense présente 88 failles de sécurité critiques (y compris les failles flash ?) plutôt que de dire que c'est android qui en a 88 ... Modifié 4 novembre 2010 par rubixcube Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
philos64 Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 On en parle ici Lien Failles Kernel Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
be0ne Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 Oui, le Kernel utilisé dans Froyo présente des failles... comme à peu près tous les noyaux écrits jusqu'alors. L'avantage d'utiliser une base Linux c'est aussi de pouvoir mettre à profit la communauté de développeurs pour les corriger. Quand à la qualification de failles ("failles de sécurité majeures") et au terme de "passoire", c'est surtout très subjectif (et donc sujet à l'appréciation de certains suelement). Bref, moi je suis plus réaliste qu'inquiet à ce sujet :) Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
3rr0r404 Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 Ce qui surprends certain c'est qu'il n'y a pas de point de comparaison avec iOS, WinMo, etc. Et pourquoi ? Tout simplement parce que leur code n'est pas accessible ! Qui sait combien de failles on trouverais si leurs codes était ouvert... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
philos64 Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 Pour WinMo = Micro$oft, on a qu'à voir le nombre de failles permanentes qu'ils ont pour les version PC :mad: :( Donc ces 88 failles, ce n'est pas grand chose. Je ne suis pas plus alarmé que cela ;) Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rubixcube Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 nan ce qui serait intéressant de voir c'est le nombre de failles réellement dangereuses, et surtout quel serait les hack possible par ces failles ... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jorodan Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 Mauvaise section. Je déplace ! Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Le_Poilu Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 Pour WinMo = Micro$oft, on a qu'à voir le nombre de failles permanentes qu'ils ont pour les version PC :mad: :( C'est à dire ni plus ni moins que les autres (MacOS, GNU/Linux, BSD, etc) Ce qui surprends certain c'est qu'il n'y a pas de point de comparaison avec iOS, WinMo, etc. Et pourquoi ? Tout simplement parce que leur code n'est pas accessible ! Qui sait combien de failles on trouverais si leurs codes était ouvert... Le fait que le code sous ouvert ou fermé n'a jamais empêché la détection de faille à ce que je sache. La majorité des grosses failles dont on parle pour les OS fermé sont découvertes par des indépendants qui se font un plaisir de communiquer dessus... alors que bizarrement on ne parle jamais des failles découvertes sur les OS libres. C'est juste que ça fait mieux de dire "j'ai trouvé une faille sur Windows" que "j'ai trouvé une faille dans la distribution GNU/Linux XYZ" Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
moltes Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 C'est à dire ni plus ni moins que les autres (MacOS, GNU/Linux, BSD, etc) [...] C'est juste que ça fait mieux de dire "j'ai trouvé une faille sur Windows" que "j'ai trouvé une faille dans la distribution GNU/Linux XYZ" +1000 :D Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
highlandermax Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 oui et surtout que la ou il y a 1000 personne pour vérifier un code fermé il y en as 10000 mille pour relire les source ouverte et faire remonter les faille car c'est a ca que ca sert les source libre, a mon avis android n'aurais jamais autant évolué si ils avait fermer les source Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
HerrMueller Posté(e) 4 novembre 2010 Share Posté(e) 4 novembre 2010 Il s'agit en fait de 359 failles, dont 88 jugées à haut risque. Mais c'est clair que ils en rajoutent à fond dans l'article. Pour un utilisateur lambda, ça peut paraitre très grave.. Perso ça ne m'inquiéte pas vraiment, et j'aimerais bien une comparaison avec d'autres OS parce que là, l'info est difficile à interpréter. À préciser également que ces erreurs ont été décelées sur là base d'une recherche portant sur 61 millions de lignes de code! Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Le_Poilu Posté(e) 5 novembre 2010 Share Posté(e) 5 novembre 2010 (modifié) a mon avis android n'aurais jamais autant évolué si ils avait fermer les source C'est très relatif dans la mesure où le développement d'Android est quasiment uniquement du fait de Google qui ne diffuse les sources qu'une fois qu'ils l'ont décidé. Alors oui Android est Open source dans la mesure où une grosse partie de son code est ouvert et que n'importe qui peut le récupérer, le modifier et le rediffuser. Mais non on n'est pas dans un projet open source comme d'autres (Mozilla, VLC, etc) où n'importe qui peut contribuer au développement et proposer ses modifications pour que ce soit intégré. Donc ce n'est pas ça qui aura fait la différence pour le développement (programmation) d'Android. Par contre, oui le développement commercial d'Android c'est un fait indéniable que la licence Open Source a été un plus en permettant aux fabricants et opérateurs de faire leurs petites modifications dans leur coin pour se différentier (sans les obliger à les rendre Open source pour autant du fait de la licence Apache). Cela a indéniablement favorisé l'adoption massive du projet par les fabricants. Modifié 5 novembre 2010 par Le_Poilu Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
moltes Posté(e) 5 novembre 2010 Share Posté(e) 5 novembre 2010 Par contre, oui le développement commercial d'Android c'est un fait indéniable que la licence Open Source a été un plus en permettant aux fabricants et opérateurs de faire leurs petites modifications dans leur coin pour se différentier (sans les obliger à les rendre Open source pour autant du fait de la licence Apache). Cela a indéniablement favorisé l'adoption massive du projet par les fabricants. Sur les téléphones Windows mobile, HTC par exemple a bien apporté des modifications sans que l'OS ne soit open source. Sinon je ne pense pas que le développement d'iOS et Windows Phone soit plus long que celui d'Android. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Le_Poilu Posté(e) 5 novembre 2010 Share Posté(e) 5 novembre 2010 HTC a crée de vraies surcouches à WinMo 6.x, ils ne modifiaient pas le système en tant que tel, car dès qu'on sortait des ajouts de HTC on retrouvait les menus classiques de WinMo. Certains fabricants de PC font pareil avec Windows (desktop), cela ne modifie en rien le système qui est intact en-dehors des ajouts fait. Et si HTC a reussi à le faire, il faut aussi voir à quel prix. Pas pour rien qu'ils étaient les seuls à le faire... alors que sur Android le seul appareil qui n'ai pas de système modifié c'est le Nexus One. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ridame Posté(e) 5 novembre 2010 Share Posté(e) 5 novembre 2010 alors que sur Android le seul appareil qui n'ai pas de système modifié c'est le Nexus One. et milestone Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kwal Posté(e) 5 novembre 2010 Share Posté(e) 5 novembre 2010 (modifié) De toute façon il y a toujours et il y aura toujours une faille, c'est partout pareil^^ Ce sont les fanboys d'iphoune qui s'acharne sur nous pasque il whine dans leur coins, mais nous on les ignorent :lol: Ok je sors. Modifié 5 novembre 2010 par Kwal Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Flash-Over Posté(e) 5 novembre 2010 Share Posté(e) 5 novembre 2010 Moi quand je compare a windows, bah je suis rassuré... Sur windows c' est des milliers... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
EowynCarter Posté(e) 6 novembre 2010 Share Posté(e) 6 novembre 2010 Aucun système n'est sans faille. Puis la faille, souvent, c'est l'interface chaise clavier. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rubixcube Posté(e) 6 novembre 2010 Share Posté(e) 6 novembre 2010 Aucun système n'est sans faille. Puis la faille, souvent, c'est l'interface chaise clavier. PEBKAC. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
sqweez Posté(e) 6 novembre 2010 Share Posté(e) 6 novembre 2010 Moi tout ce qui m'intéresse, c'est de voir à quelle vitesse les failles seront bouchées. Là je sais juste que si je met des données confidentielles sur un HTC Droid Incredible, les pirates ont 88 façons identifiées d'y accéder rien que par le kernel. j'ose même pas imaginer si on rajoute les failles des appli :( Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ghisy Posté(e) 6 novembre 2010 Share Posté(e) 6 novembre 2010 J'aime bien 20minutes.fr qui fait un "article" sur la technologie des OS, euh lol! Vive la crédibilité! Comme tout le monde l'a dit, il y a des failles dans TOUS les OS. C'est pas comme si c’était le scoop de l’année. Pfff, la presse gratuite... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
HerrMueller Posté(e) 6 novembre 2010 Share Posté(e) 6 novembre 2010 (modifié) C'est juste INCROYABLE comme le 20 minutes a déformé la source! Voici ce qui est dit sur le blog de cette entreprise de sécurité: (source : http://blog.coverity.com/open-source/launch-of-the-coverity-scan-2010-open-source-integrity-report/ ) The average defect density for the Android kernel was 0.47 defects per 1000 lines of code. This is actually pretty good – half of what you’d expect compared to the industry average of 1 defect per 1000 lines of code. We found 359 defects in total and of these, 88 of the defects were “high risk”, which includes memory corruption, resource and memory leaks, and uninitialized variables. The Android-specific portions of the kernel (which is largely derived from Linux) have a higher defect density (0.78 defects / 1000 loc) than the rest of the kernel (0.47). Traduction approximative: La densité moyenne de défauts pour le noyau Android est de 0.47 pour 1000 lignes de code. C'est en fait assez bon - la moitié de la moyenne à laquelle on peut s'attendre dans cette industrie, qui est d'1 défaut pour 1000 lignes de code. Nous avons trouvé 359 défauts au total dont 88 jugés à haut risque, ce qui inclut de la corruption de mémoire, ressource et fuites de mémoire, et variables non initialisées. Les parties spécifiques à Android du noyau (qui est largement dérivé de Linux) a une plus haute densité de défauts (0.78 / 1000 lignes de codes) que le reste du noyau. Comme on peut le voir, l'article de l'entreprise de sécurité est n'est pas vraiment négatif, alors que le 20 minutes (dont la véracité des informations n'est plus à démontrer xD) est plus que négatif. Modifié 6 novembre 2010 par HerrMueller Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
moltes Posté(e) 6 novembre 2010 Share Posté(e) 6 novembre 2010 Moi quand je compare a windows, bah je suis rassuré... Sur windows c' est des milliers... tu compares android et windows ? lol, lol, lol... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
shadoxx Posté(e) 6 novembre 2010 Share Posté(e) 6 novembre 2010 Perso je préfere que certaines personnes se penchent sur la sécurité d'android et découvrent des failles, faut se dire que c'est grâce à la compétition entre hackers éthiques et hackers criminels que l'on peut aujourd hui compter sur la fiabilité de sa carte bancaire, et ce n'est qu'un exemple. La plupart des entreprises développant des projets sous licence se préoccupent uniquement du budget, de la position par rapport à la concurrence, donc développent des applications rapidement et les diffusent des qu'elles marchent. La sécurité est loin d'etre leur préoccupation. Donc l'ai envie de dire: heureusement que l'open source existe: meme s'il est plus facile de trouver des failles, les app open source progressent très rapidement d point de vue sécurité. Et heureusement que les hackers existent (bons et mauvais) car sans eux, pas de progres en sécurité, donc des failles énormes dans la technologie actuelle. Derniere chose: on, parle de 88 failles, mais il en existe surement des centaines, on ne les a juste pas encore trouvées. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recommended Posts
Rejoignez la conversation
Vous pouvez poster maintenant et vous enregistrez plus tard. Si vous avez un compte, connectez-vous maintenant pour poster.