Sécurité des OS : compter les bogues ne suffit pas

Cloud

Selon un site spécialiste du système d’exploitation libre, comparer Linux à Windows du point de vue de leur niveau de sécurité relève de la mission impossible. LWN.net a tout de même dressé un tableau de toutes les mises à jour de l’année 2001 concernant les principales distributions.

A force d’essayer de déterminer qui de Linux ou de Windows est le système d’exploitation qui a souffert du plus grand nombre de problèmes de sécurité dans le courant de l’année 2001, la polémique s’est mise à enfler. Le site sur Linux LWN.net s’est lancé dans la difficile tâche de lister et comparer tous les problèmes de sécurité rencontrés par différentes distributions Linux durant la même période.

Cela va sans dire, les résultats sont plutôt intéressants. Le site a même jugé bon de prévenir ses visiteurs : “Tout ceux qui sont fiers de la sécurité de Linux ont intérêt à lire (cette liste) attentivement et à pleurer – la liste est très longue”. Reste qu’il est bien difficile de se faire une idée générale du problème puisque, même si toutes les distributions sont basées sur le même noyau, chacune d’elles inclut des milliers de packages et d’applications différents.

Et LWN.net d’expliquer : “Il est impératif de lire ce tableau (l’article de VNUnet.com) avec énormément de précautions : il est très difficile de comparer une par une les mises à jour de sécurité de toutes les distributions. Il est évident que certaines s’y trouvent alors qu’elles n’ont sûrement pas de raison d’y être et que d’autres ont été exclues alors qu’elles devraient être listées.” De plus, les résultats présentés ne font aucune distinction entre les différentes versions, ce qui signifie, par exemple, qu’une mise à jour spécifiquement destinée à la RedHat 6.2 est tout simplement répertoriée dans la colonne RedHat.

Difficile de faire des comparaisons significatives

Au final, le tableau identifie 290 mises à jour concernant 145 vulnérabilités touchant les principales distributions Linux : SuSe, Debian, Mandrake, RedHat et TurboLinux. Cela dit, au vu des résultats, le site s’empresse de pointer sur le fait que “nous n’en sommes pas encore au point de pouvoir faire de comparaisons significatives, même entre les distributions Linux. De ce fait, essayer de comparer Linux à Windows nous paraît être une perte de temps.” De plus, comme les distributions sont livrées avec un grand nombre d’applications, elles sont bien plus qu’un simple système d’exploitation. Et les différences qui existent entre chaque distribution sont tellement nombreuses que des correctifs destinés à un package d’une distribution peuvent très bien ne pas s’appliquer à une autre.

“Au final”, indique LWN.net, “mieux vaut étudier avec sérieux chaque problème découvert. Il faut s’intéresser à son degré de gravité, à la façon dont il a été découvert (à l’intérieur ou à l’extérieur de la société), combien de temps ont dû attendre les utilisateurs pour obtenir un correctif et combien d’utilisateurs ont réellement été touchés par le problème. Compter le nombre de vulnérabilités ne suffit pas.”


Lire la biographie de l´auteur  Masquer la biographie de l´auteur