Linux est-il fiable '

Le par  |  3 commentaire(s)

Marc Olanie, du site Reseaux-telecoms.

Marc Olanie, du site Reseaux-telecoms.com, nous propose la lecture de deux articles, apparemment contradictoires, qui viennent troubler les esprits Linux.

Loin de la gueguerre Windows vs Linux, ces articles nous fournissent un point de vue intéressant sur la sécurité des deux systèmes d'exploitation.

 

Le premier papier est publié par le Projet Honeynet , qui s'est lancé dans une analyse de ses « statistiques de survie » portant précisément sur les noyaux Linux, et plus particulièrement sur une écurie de noyaux Red Hat. Les conclusions sont intéressantes : la durée de vie d'un Linux « non patché » connecté à Internet est passée de 72 heures à 3 mois si l'on compare les « parfums » actuels et ceux diffusés il y a 12 ou 24 mois.
A lire trop rapidement ce rapport, l'on pourrait croire ressurgie la querelle stérile « Linux plus solide que Windows »? Pourtant, c'est dans les détails que l'on mesure la portée des propos de l'article. En fin de rapport, les gens du honeynet précisent que plusieurs systèmes sous Windows, situés au Brésil pour être précis (un des paradis du piratage, de l'intrusion et du « defacement »), « ont tenu plusieurs mois avant d'être compromis par des virus ver ». A titre de fausse comparaison, sur 4 noyaux Solaris (8 et 9), trois ont été hackés en moins de 3 semaines. Insistons sur le fait que ce sont là des machines « montées brut de fonderie », certaines ne possédant aucun firewall par défaut activé par la procédure d'installation d'origine. Tout juste peut-on en conclure que les dernières versions de Red Hat possèdent un paramétrage from scratch particulièrement soigné.

Toutefois, le Honeynet renvoie sur les études statistiques réalisées par Symantec, le Sans Institute, l'Internet Storm Center et le Cert, lesquelles font remarquer qu'un Windows « tout nu sur Internet » voit sa vie comptée en heures plutôt qu'en mois. Là encore, il faut savoir relativiser. Certaines de ces études « datent » un peu, sont antérieures à la sortie du SP2, et prennent parfois en compte des noyaux tels que WinMe, 98 ou NT 4.0. Il serait intéressant de comparer la résistance d'un XP SP2 et d'un Red Hat moderne, tous deux « totalement rustinés », à nombre et force d'attaques égales et dans des conditions semblables d'usage.

Le second article est publié par Linux Insider , journal que l'on peut difficilement taxer de vendu à la cause Microsoftienne . Le titre est sans équivoque : « Un développeur critique la sécurité de Linux » . Développeur qui affirme qu'en matière de sécurité, Linux n'est ni « professionnel », ni prêt à avoir droit de cité dans une entreprise . Une opinion reposant notamment sur un avis qu'aurait émis Linus Torvalds, lequel préfèrerait favoriser la rapidité d'exécution des applications au détriment de mécanismes « kernel » visant à interdire les attaques par saturation de buffers (BoF) et susceptibles de ralentir le traitement des processus. Tout y passe : les risques qu'apporte LSM (Linux Security Module), l'absence d'une « autorité sécurité » au sein du groupement Open Source, les « fuites » d'informations confidentielles lors de la procédure de révélation de failles à destination d'un chargé de « distrib »? L'auteur, Brad Spengler, tout de même développeur de grsecurity , n'est pas tendre avec le volatil polaire. Qu'importe, c'est pour la bonne cause !


Source : Reseaux-telecoms.com

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #28909
Oui, j'ai vu ce thread : ce développeur de grsec a bein flamé Linus Torvalds, et a raison : ils n'ont manifestement pas le meme but. Mais il ne peut nier que le projet auquel il participe (grsec donc) apporte des éléments considérables en terme de sécurité.
La ou il rallait beaucoup aussi, c'est que maintenir grsec pour les derniers noyau 2.6 est difficile a cause de la grande mobilité du code (voulue par Torvalds, avec le nouveau mode de développement).
D'ailleurs, sur l'échelle "Common Criteria Evaluation Level Assurance" (/7), Un linux de base est noté 2, un Windows 2000 Serveur 4, et un Linux avec des patchs comme grsec (intégré de base dans les packages dis "serveur" ou "entreprise" souvent est noté 5
Y a des détails sur les critères la par exemple : http://csrc.nist.gov/cc/Documents/CC%20v2.1%20-%20HTML/PART3/PART36.HTM
Le #28924
Oui c'est l'avantage de l'open source !!
En, même tant que tu critiques les failles dans la précdure de conception, tu peut toit même montré ce que est à corrigé puisque tout est acessible. Les arguments sont bon, mais ces affirmation enflamé servent plutôt à mettre un coup pied aux cus pour que ca s'améliore, et non pour décrire la vérité de la situation. Et souvent ca fait du bien un coup pied au cus.
Le #28937
A priori, beaucoup d'évolutions se font par coups de gue**.
Ce monsieur a sans doute raison de soulever les problèmes de sécurité, même ses propos ont été excessifs.

Preuve que :
1/ La critique est justifiée
2/ La réponse et les arguments opposés le sont aussi.

Dans ces cas une troisième voie est trouvée, répondant aux uns et aux autres. Gageons que dans 2 mois une branche Linux 2.7.x va voir le jour, incluant des maecanismes de sécurité ultra rapide, qui répondent à la fois aux experts en sécurité et aux exigeances de vitesse.

Pour mémoire, une précédante annonce avait retiré les pilotes videocam de linux pour des problèmes de licences... De nouveaux drivers ont réapparus sous licence GPL quelques temps plus tard, répondant aux attentes des uns et des autres.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]