::1 a écrit :



le systeme BSD, c’est simple :

a chaque maj, recompilation obligatoire.

Eliminatoire sur mes critères, qui exigent une rapidité absolue pour mise en service.

Compilation de paquets prohibée.







Hum… oui, mais non.

1. Tous les logiciels BSD sont disponibles sous la forme de port = sources + script makefile/configure.
   


2. Une graaaaande majorité d’entre-eux est disponible sous la forme de package = binaire précompilé
   
   
   
   Le package, en tant que binaire précompilé, est bien sur spécifique à un cpu (x86,amd96) et une version de BSD (9.0, 9.1, 9.2). (archive ftp)
   
   
   
   Certes c’est plus spécifique que windows, pour lequel un “setup.exe” de xp/32bits peut s’installer sur un win8/x64. Mais ca ne necessite pas une recompilation… au mieux une réinstallation (enfin, un “update”) des applis déjà installées.

L’avantage de BSD c’est qu’on n’a pas besoin de se mettre d’accord entre bsdistes…



Pourquoi ? Car tout est documenté. " />



https://www.freebsd.org/doc/handbook/ports-overview.html

Baldurien a écrit :



Mais Windows 7 n’est pas touché alors que 8 si ?







C’est une faille dans l’implémentation de la version 1 de SMB (SMB v1).



Meme si Windows Vista/7 utilise préférentiellement SMB v2, il y a une implémentation de SMB v1 qui est présente dans Windows Vista/7 => La faille est présente dans Windows Vista/7.



Si vous avez un parc de PC avec seulement du Windows Vista ou supérieur, vous pouvez désactiver SMB v1.



// Disable server side SMB v1

reg.exe ADD HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v SMB1 /t REG_DWORD /d 0 /f



// Disable client side SMB v1

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

sc.exe config mrxsmb10 start= disabled



Mieux, installez le dernier rollup de sécurité: kb4019264



" />

Et que penses tu de la théorie du franchissement de la barrière inter-espèces ?



Par exemple, si le malware s’installe sur du XP, 2003 et Vista/7 et tente ensuite une attaque par le LAN sur les OS récents (via une autre faille… genre Intel AMT).

1. Je répondais à la question de Baldurien
   
   
   
   
   
   1. Tous les PC ne sont pas mensuellement mis à jour avec les derniers niveaux de patch
      
   
   
   2. Ca ne coute rien de dire comment désactiver le service SMBv1 de Win vista/7
      
   
   
   3. Ca ne coute rien de donner le KB des derniers rollup, y compris pour Win vista/7
      
      
      
   
   
   4. Je travaille dans l’informatique médicale, et si je n’étais pas trop présent sur NXI depuis 48H c’est parce que je m’occupais d’écrire et d’appliquer les procédures de lutte contre cette faille. " />
   
   

skankhunt42 a écrit :



Au final ont peut en conclure qu’avant de proposer des mise à jours il faut d’abord proposer un système performant de sauvegarde et d’installation, dans le cas ou la mise à jours pose problème.







+1.



L’installation/personnalisation d’application est souvent imbriquée avec celle du système d’exploitation. C’est vrai aussi bien avec windows que Linux.



D’ailleurs tu le dis toi-même, sous Linux tu as du créer “plein de ligne de commande pour réinstaller tous les soft puis écrasé les fichier de conf”. Perso, j’ai la même chose sous windows.



Ca fait plusieurs années que mes configs windows sont :

• windows sur le disque-dur/partition 1
  


• toutes les applis/données sur le disque-dur/partition 2
  
  les applis sont installées en mode “portable”, et pour celles qui n’ont pas un tel mode d’installation j’ai des scripts (ou des procédures) de réinstallation.
  
  
  
  J’utilise conjointement windows et Linux depuis +20 ans. J’aurais du mal a dire lequel est le moins couteux en terme de “maintenance”. En terme de fiabilité, Windows s’encrasse progressivement alors que Linux va se bloquer d’un seul coup. C’est ni mieux ni moins bien.
  
  
  
  Pour moi, la grande différence “non-technique” entre les 2 OS c’est la confiance. D’un coté on doit faire confiance à une énorme multinationale US cotée en bourse, et de l’autre on doit faire confiance à une communauté changeante de personnes inconnues. Idem, c’est ni mieux ni moins bien.
  

Le meilleur pour moi c’est BSD, mais ca reste à la traine en terme de part de marché. " />

EricB a écrit :



Quelque soit l OS choisi par le constructeur pour la dite machine, le fournisseur de la maintenance doit donc avoir les contrats correspondants avec les fournisseurs de la machine, que cela soit pour le HW ou pour la partie logicielle.







C’est un peu comme pour une voiture. Les appareils sont garantis par le constructeur sur toute la durée de vie (selon les appareils ca peut être 5, 10 ou 20 ans). La garantie ne fonctionne que si le client fait les maintenances requises. Ces maintenances sont faites par le constructeur ou un sous-traitant agréé.



Contractuellement le constructeur s’engage a ce que l’appareil respecte les spécifications fonctionnelles et les caractéristiques de performance lorsqu’il est utilisé dans les conditions d’utilisations spécifiées.



Légalement parlant, une attaque par un malware n’est pas une condition normale d’utilisation. C’est donc au client de sécuriser son LAN, à la condition que le constructeur ait spécifié ce qu’est un LAN sécurisé.



Depuis peu, les autorités obligent les constructeurs a inclure la cybersécurité dans les analyses de risques des appareils. Ne pas mettre en oeuvre des mesures de cybersécurité peut donc théoriquement conduire les autorités à refuser la mise sur le marché d’un appareil. Pour l’instant, je n’ai pas connaissance d’un refus pour ce motif.





Ainsi, si par ex la machine est sous Windows, cela devrait être le fournisseur de maintenance qui a un contrat de ‘custom support’ sur le très long terme avec Microsoft pour recevoir les patchs critiques, ce qui inclus celui de XP pour wannacrypt. J ai pas bien saisi d ailleurs si celui ci a été fourni aux entreprises sous ‘custom support’ en mars comme le bulletin MS17-010 ou seulement pour tous ce week-end.





Les autorités poussent les constructeurs à maintenir les logiciels à jour en terme de patch de sécurité. Mais ce n’est pas une obligation pour l’instant, juste une recommandation.



Le problème, comme je l’ai dit dans d’autres commentaires, c’est que toute modification du logiciel doit obligatoirement passer par une déclaration aux autorités. C’est à dire un processus compliqué et long (documentation technique, tests, rapports, notification… tout ca dans un cadre documentaire stricte incluant tracabilité, QA, blablabla).



Bref, c’est totalement incompatible avec des patchs qui sortent toutes les semaines, ou même tous les mois.

Les constructeurs préfèrent sortir une ou deux versions logicielles par an, et en profiter pour tout inclure dedans (nouvelles fonctions, amélioration des perfs, patch sécurité, …)

Derniers développements: Le parquet de Paris ouvre une enquête après la vague de cyberattaques



On est sauvé \o/

Pourtant, la boite c’était un décodeur… donc c’était codé ?



" /> " />

EricB a écrit :



j’ai oublié plus tôt de te remercier pour ce message qui éclaire bcp plus ce qui se passe dernière pour nous autres hors secteur médical!







Bon après ce n’est qu’un jugement personnel.



En théorie, pour un patch software de sécurité on n’a pas besoin de repasser par un enregistrement du produit, mais simplement besoin de notifier les autorités. Mais bon, tu préfères ne pas patcher ton logiciel pour ne pas te rappeler au bon souvenir d’une autorité gouvernementale.



Mais tout ca est tellement peu clair que l’autorité (la FDA, pour ne pas la nommer) travaille sur une clarification depuis 6 ans. Oui, ca va faire 6 ans pour écrire un document qui clarifie quand est-ce qu’on doit re-enregistrer ou juste notifier d’un changement logiciel.



A l’heure actuelle cette “clarification” est toujours en draft. " />



https://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/Guidanc…