Marc Olanie, du site Reseaux-telecoms.com, nous propose la lecture de deux articles, apparemment contradictoires, qui viennent troubler les esprits Linux.
Loin de la gueguerre Windows vs Linux, ces articles nous fournissent un point de vue intéressant sur la sécurité des deux systèmes d'exploitation.
Le premier papier est publié par le Projet Honeynet , qui s'est lancé dans une analyse de ses « statistiques de survie » portant précisément sur les noyaux Linux, et plus particulièrement sur une écurie de noyaux Red Hat. Les conclusions sont intéressantes : la durée de vie d'un Linux « non patché » connecté à Internet est passée de 72 heures à 3 mois si l'on compare les « parfums » actuels et ceux diffusés il y a 12 ou 24 mois.
A lire trop rapidement ce rapport, l'on pourrait croire ressurgie la querelle stérile « Linux plus solide que Windows »? Pourtant, c'est dans les détails que l'on mesure la portée des propos de l'article. En fin de rapport, les gens du honeynet précisent que plusieurs systèmes sous Windows, situés au Brésil pour être précis (un des paradis du piratage, de l'intrusion et du « defacement »), « ont tenu plusieurs mois avant d'être compromis par des virus ver ». A titre de fausse comparaison, sur 4 noyaux Solaris (8 et 9), trois ont été hackés en moins de 3 semaines. Insistons sur le fait que ce sont là des machines « montées brut de fonderie », certaines ne possédant aucun firewall par défaut activé par la procédure d'installation d'origine. Tout juste peut-on en conclure que les dernières versions de Red Hat possèdent un paramétrage from scratch particulièrement soigné.
Toutefois, le Honeynet renvoie sur les études statistiques réalisées par Symantec, le Sans Institute, l'Internet Storm Center et le Cert, lesquelles font remarquer qu'un Windows « tout nu sur Internet » voit sa vie comptée en heures plutôt qu'en mois. Là encore, il faut savoir relativiser. Certaines de ces études « datent » un peu, sont antérieures à la sortie du SP2, et prennent parfois en compte des noyaux tels que WinMe, 98 ou NT 4.0. Il serait intéressant de comparer la résistance d'un XP SP2 et d'un Red Hat moderne, tous deux « totalement rustinés », à nombre et force d'attaques égales et dans des conditions semblables d'usage.
Le second article est publié par Linux Insider , journal que l'on peut difficilement taxer de vendu à la cause Microsoftienne . Le titre est sans équivoque : « Un développeur critique la sécurité de Linux » . Développeur qui affirme qu'en matière de sécurité, Linux n'est ni « professionnel », ni prêt à avoir droit de cité dans une entreprise . Une opinion reposant notamment sur un avis qu'aurait émis Linus Torvalds, lequel préfèrerait favoriser la rapidité d'exécution des applications au détriment de mécanismes « kernel » visant à interdire les attaques par saturation de buffers (BoF) et susceptibles de ralentir le traitement des processus. Tout y passe : les risques qu'apporte LSM (Linux Security Module), l'absence d'une « autorité sécurité » au sein du groupement Open Source, les « fuites » d'informations confidentielles lors de la procédure de révélation de failles à destination d'un chargé de « distrib »? L'auteur, Brad Spengler, tout de même développeur de grsecurity , n'est pas tendre avec le volatil polaire. Qu'importe, c'est pour la bonne cause !
Source : Reseaux-telecoms.com
