lundi 15 février 2010

Linux a moins de failles de sécurité que Windows

Grosse frayeur dans le monde GNU/Linux. Le 10 février, Canonical (la société qui gère Ubuntu) a annoncé la sortie d'une mise à jour de sécurité pour le noyau des versions suivantes : 6.06 LTS (Dapper Drake), 8.04 LTS (Hardy Heron), 8.10 (Intrepid Ibex), 9.04 (Jaunty Jackalope) and 9.10 (Karmic Koala).

Cette mise à jour concerne également Kubuntu, Edubuntu et Xubuntu (trois versions dérivées d'Ubuntu, elle-même dérivée de Debian...), et elle corrige 10 importantes failles de sécurité découvertes par plusieurs hackers à l'intérieur des paquets du noyau Linux.

Les fans de Windows adorent ce genre d'annonce. Pour eux, c'est un prétexte pour dire que les systèmes d'exploitation de Microsoft sont plus sûrs !

La réalité n'est pas aussi tranchée.

Le noyau Linux et les distributions GNU/Linux présentent des vulnérabilités. C'est un fait. Une des raisons que l'on peut avancer est que de nombreuses distributions GNU/Linux cherchent à sortir de nouvelles versions tous les semestres. Pour des experts en sécurité, c’est le modèle de Microsoft appliqué au libre qui ne va pas.

Selon le cabinet de sécurité Secunia, spécialisé dans les failles, ses statistiques 2010 concernant Linux Kernel 2.6.x affichent 207 "Secunia advisories" (5% ne seraient pas corrigées) et 400 vulnérabilités.

En face, Windows Vista présente, depuis le début de cette année, 87 "Secunia advisories" (6% ne sont pas corrigées) et 161 vulnérabilités.

Windows Seven démarre fort puisque les relevés de Secunia indiquent déjà "11 Secunia advisories" et 17 vulnérabilités. Plus inquiétant, 18% des mises en garde de Secunia ne sont pas encore corrigées !

Quant à Windows XP, il affiche 279 "Secunia advisories" (12% non patchées) et 322 vulnérabilités.

Les comparaisons de statistiques peuvent être interprétées de plusieurs façons.

Mais il est intéressant de noter qu'Ubuntu, distribution GNU/Linux la plus connue du grand public, affiche 33 "Secunia advisories" et 105 vulnérabilités pour 2010. MAIS, toutes les failles sont corrigées !

C'est peut-être la différence essentielle entre Windows et GNU/Linux : la rapidité à combler des failles et à les detecter

"D'un côté, les choses sont gérées rapidement et, en plus, le système étant ouvert, il est audité facilement, régulièrement et rapidement. Quid de Microsoft qui ne publie rien et a une gestion plus qu'opaque des correctifs. Pour simplifier : "acceptez tous les patches le premier mardi du mois et faites nous confiance". En fait, pour quelques failles repérées dans GNU/Linux ou Windows quel est pourcentage de failles existantes pour les deux OS. A mon avis, pour GNU/Linux, nous sommes très probablement proche des 100% alors que pour Windows, je ne ferai aucun pronostic...", déclare Eric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles à l'ESIEA.

Mais au-delà de ce constat, il ne faut pas oublier que le maillon faible reste l'utilisateur. Même s'il travaille sous Ubuntu, Fedora ou Debian, il n'est pas protégé à 100% s'il fait des erreurs : travailler avec le compte administrateur, ne pas mettre à jour sa distribution, installer des logiciels depuis des sites, avoir des mots de passe trop faibles...

Une distribution GNU/Linux semble donc plus sûre. A condition de ne pas faire n'importe quoi !

Aucun commentaire:

Enregistrer un commentaire