Smack sème la zizanie dans la communauté open source

Cloud

Le fondateur de Linux a sévèrement critiqué les chercheurs en sécurité pour leur refus d’intégrer l%u2019application Smack au noyau Linux.

Linus Torvalds s’est vigoureusement attaqué aux programmeurs de sécurité qui refusent d’ajouter l’application Smack à la prochaine version 2.6.24 du noyau Linux. Au cours d’un échange assez houleux, le créateur de Linux a accusé les programmeurs de trop s’attacher aux problèmes théoriques au détriment des applications pratiques.

Smack utilise le framework Linux Security Modules (LSM) qui pourrait être exploité, selon certains chercheurs, pour perpétrer des attaques sur les systèmes en utilisant du code. Les chercheurs auraient préféré voir utiliser le framework Security-Enhanced Linux.

« Si LSM est maintenu, la sécurité ne sera jamais élevée au rang de citoyen de première classe du noyau », a déclaré le développeur Linux James Morris. « Les développeurs d’applications seront confrontés à différents schémas de sécurité ; soit ils s’évertueront à tenter de les prendre en charge, soit, et cette option est la plus probable, ils les ignoreront purement et simplement. […] Sur une plus large échelle, toutes les chances d’offrir à Linux une architecture de sécurité cohérente et forte d’un point de vue sémantique seront réduites à néant. »

Mais toutes ces plaintes n’ont fait qu’augmenter la colère de Linus Torvalds, las de ne pouvoir satisfaire les exigences des chercheurs en sécurité.  » Vous êtes complètement fous, vous les chercheurs en sécurité. Je suis fatigué d’entendre rabâcher toutes les bêtises du type ‘ma version est la seule version correcte' », écrit-il. « L’unique intérêt de LSM était justement de s’en dégager. Et tous ceux qui pensent qu’il y a un ‘consensus’ avec Security-Enhanced Linux se trompent lourdement. »

Très énervé, Linus Torvalds a commencé à poster des commentaires en majuscules, ce qui, en langage écrit, signifie que le ton monte. « Si vous aviez seulement été capables de discuter et de vous entendre sur les données logicielles, nous n’aurions pas eu besoin de LSM. MAIS CA N’A PAS ETE LE CAS « , poursuit-il. « Et plus important encore : CE N’EST*TOUJOURS* PAS LE CAS. Désolé de vous parler sur ce ton, mais je suis tout à fait sérieux. »

Linus Torvalds a conclu en annonçant fermement le maintien de LSM dans le noyau et en précisant qu’il ne reviendrait pas sur sa décision. Il pourrait changer d’avis, a-t-il toutefois concédé, si les chercheurs en sécurité avancent des arguments qui tiennent la route, autrement dit « quand les poules auront des dents ».

Traduction de l’article Torvalds irate over Linux Smack de Vnunet.com par Iain Thomson en date du 2 octobre 2007