generationcyb.net pointcyb lien vers les points cyb
Inscription à la lettre d'information | Fil infos rss 

 

Accueil > Boîte à outils > Logiciels libres

Linux et les systèmes libres sont-ils 100% plus sûr que Windows ?


Version imprimable Version imprimable


Il est aujourd’hui facile d’installer un système libre sur son ordinateur, avec la possibilité de rechoisir à chaque démarrage entre ce système et Windows (essayez Ubuntu 5.10 ; nous vous remboursons si vous n’êtes pas satisfait ;-) !). Ces systèmes sont-ils pour autant 100% plus sûrs que Windows ? La réponse est dans la question : ces systèmes sont bien plus sûrs que Windows, mais pas à 100%. Un site passionnant sur les questions de sécurité est http://nicolas.chazot.free.fr [1]. Extraits…

Linux est très souvent vanté pour sa sécurité, notamment par comparaison avec Microsoft Windows. Qu’en est -il réellement ?

1. Avantages sécuritaires de Linux.

1.1. Fonctionnement général.

En terme conception globale, de stabilité de fonctionnement du noyau et des interfaces graphiques, de la sécurité entre processus, de l’absence de fragmentation native des fichiers sur disques durs, Linux fait la différence et consomme beaucoup moins de ressources processeur ou mémoire.

En matière de mise à jour du noyau, des bureaux et des divers "paquets", la sécurité est au rendez-vous avec, par exemple, le système Débian, APT, Synaptic et Update Manager. On atteint avec cette chaîne d’outils le plus haut niveau d’intégration et de facilité d’usage qui soit à ce jour.

La séparation totale entre les comptes ROOT (administrateur) et USER (utilisateur) est un gage de sécurité certain. La distribution Ubuntu utilise elle l’option SUDO, ce qui permet de ne pas avoir à fermer de session pour basculer de USER à ROOT à la volée. C’est très agréable et très sécurisant.

1.2. Disponibilité des sources.

Au delà de la perception immédiate qui se dégage d’une distribution Linux, il faut savoir que les sources du noyau, des interfaces graphiques et de tous les programmes sont disponibles à tout instant.

Ces sources font l’objet de toutes les attentions de la part des diverses communautés. Selon le principe bien établi mais méconnu, "on ne fait pas de la sécurité par l’obscurantisme", la licence GNU GPL permet la plus grande facilité de recherche de failles de sécurité ou de fonctionnement.

1.3. Evolution non commerciale.

Au delà de la possibilité pour quiconque d’exploiter les sources, il y a l’univers non commercial dans lequel évolue les personnes qui programment le noyau, les interfaces et les exécutables. Cela se traduit par le fait qu’une version du noyau ou d’une distribution n’est validée comme stable, c’est à dire utilisable au quotidien et exempte de toutes bogues, uniquement lorsque l’équipe de développement estime que c’est le cas.

Il peut s’écouler des mois, voire des années, avant que des évolutions n’aient lieu et ne soient validées. Dans un univers commercial, ce qui compte c’est d’occuper le terrain avant les autres, de vendre de la nouveauté marketing et de faire parler de soi dans les médias spécialisés. L’exemple de Windows Millenium est flagrant comme exemple de ce type de comportement. La qualité et la sécurité des produits s’en ressent inévitablement.

1.4 Bilan sécuritaire de Linux, aspects positifs.

Beaucoup d’utilisateurs de Linux sont persuadés que Linux est plus sûr que Windows par conception et construction, à partir des éléments que j’ai indiqués plus haut. Je prend le risque par honnêteté de les décevoir, mais ce n’est pas vrai.

1.4.1. Bilan statistiques.

Le graphique ci-dessus est établi par mes soins à partir de l’interrogation simple de la base de données du NIST, qui collecte toutes les découvertes et signalement de failles en provenance du monde entier et de toute source, pourvu que les failles signalées soit réelles.

Ce graphique est sans appel : il y a bien une quantité importantes de failles au sein du noyau et des distributions Linux.

[…]

La lecture de ces graphiques est assez évocatrice : Les communautés Linux suivent très bien leurs produits mais cela m’empêche nullement dans certains cas la persistance de failles non patchées parfois plusieurs mois après leurs divulgation mais à l’inverse Débian 3.0 est propre.

[…]

De plus, contrairement à Windows, le niveau de sévérité des failles est bien moindre. 34 % des failles de Windows XP Home ont un niveau de sévérité élevé ou extrème.
Linux n’est pas plus sécurisé que Windows parce qu’il serait exempt de failles ; il l’est parce que le niveau de risque n’est pas le même et que la transparence et la réactivité des équipes de développement de Linux sont très élevées face aux failles, ce qui garanti au mieux l’étanchéité de ce système d’exploitation.

2. Effets pervers du système Linux.

Comme tout système complexe, les effets en retour ou autres effets de bords existent dans Linux.

2.1. Les sources.

Les sources publiques ont-elles autant d’avantage que cela ?

2.1.1. L’exploitation des sources.

Très peu de gens sont effectivement capables d’exploiter la source d’un programme, qui n’est jamais qu’un listing de code informatique en langage C ou autre. Le particulier, l’étudiant, le chercheur ne sont pas concernés par l’utilisation de ces documents. Ils sont donc bien obligés de faire confiance, à la fois à la communauté mais aussi et surtout au site web ou au serveur qui distribue les fichiers. Il y a peu de chance pour que ces utilisateurs compilent eux même leurs programmes ou distributions et les installent à l’ancienne (make, make install, no errors. Louée soit la ligne de commande, amen ! )

Par ailleurs, compiler et installer requiert obligatoirement de disposer du compilateur C et des bibliothèques annexes. Or la sécurisation d’un Linux exige en revanche une désinstallation de ce type d’outils bien trop puissants pour qui sait s’en servir à distance.

2.1.2. Compiler en sécurité.

Les communautés du libre distribuent toujours leurs sources à compiler dans le respect de la licence GNU GPL ou LGPL. Mais en quoi exactement cela peut-il ajouter à la sécurité ? Si le fichier des sources n’est pas authentifié, rien m’empêche un serveur Web ou FTP de fournir une source corrompue pour usage arbitraire invisible, même après compilation locale. En la matière le strict minimum est de fournir une empreinte SHA1 de toute source en téléchargement avec une connexion SSL. C’est loin d’être systématiquement le cas.

2.2. La vie des projets et des communautés.

Développer en équipe gratuitement est un des fondements de l’aventure du logiciel libre. Mais les équipes et les projets se font et se défont aussi facilement.
Des logiciels cessent d’être supportés sans préavis. Des applications en licence libre peuvent du jour au lendemain passer dans le domaine commercial, l’équipe de développement décidant que son programme est assez mûr pour être vendu. Des mouvements magmatiques profonds peuvent survenir sans avertissement. C’est ce qui arrive au site sourceforge qui est le plus gros centre mondial de travail collaboratif et de distribution de programmes libres du monde. L’enveloppe juridique qui couvre ce site est passé insensiblement du domaine libre au domaine sous copyright. Il y a désormais une menace potentielle relative à l’appropriation des contenus. Voir à ce sujet la dérive de SourceForge sur le site de la FSF.

Les distributions commerciales ont parfois des évolutions assez déstabilisantes dont on ne sait pas ce que cela va donner en matière de sécurité. Le passage de Mandrake à Mandriva avec le rachat de conectiva (Brésil) par MandrakeLinux (France) ne sera pas sans effets pour les utilisateurs.

La naissance et le support financier de la distribution Ubuntu sont en décalage total avec les anciennes pratiques du monde Linux. Cette distribution existera-t-elle dans 3 ans ?


Source : http://nicolas.chazot.free.fr/main.php ?page=.%2Fcauses#causes_eco.

[1] Le site http://nicolas.chazot.free.fr - à consommer sans modération - est destiné aux particuliers et amateurs éclairés qui désirent acquérir des notions de base sur la sécurité informatique : mises à jour des systèmes d’exploitation, anti-virus, firewall, droit, messagerie électronique, chiffrement, etc.

Mis en ligne le vendredi 9 décembre 2005



Répondre à cet article

Forum

Contact | Plan du site | Espace privé
Dernier ajout : vendredi 24 mai 2013 | 821 articles sur ce site.

Generationcyb.net est motoris´ par Spip 1.9.2e associ´ a un squelette spip Rizom
Sauf indication, les articles sont mis a disposition sous un contrat Creative Commons
Ministere en charge de la jeunesse Institut national de la jeunesse et de l'education populaire Information jeunesse Centre d'information et de documentation jeunesse