On a coutume de déclarer le système Linux comme très bien sécurisé et il ne fait aucun doute que niveau sécurité les utilisateurs de Linux ont bien moins de problèmes que ceux de Windows, mais pour combien de temps encore ?

Les linuxiens rencontrent moins de mauvaises surprises, certes, mais la situation est loin d'être aussi simple et, avec le temps, du fait de la prépondérance du noyau Linux dans la plupart des smartphones, des systèmes embarqués, et bien d'autres services encore il faut s'attendre à ce que le système Linux soit de plus en plus la cible des pirates. Or comme jusqu'à il y a peu les attaques étaient bien plus rares sur Linux que sur les systèmes Windows, la sécurité parfois, je dis bien parfois, est passée au second plan dans certains contextes et solutions proposées. En disant cela je ne nie tout de même pas le très gros travail fourni par les développeurs, sur le noyau comme sur d'autres produits, pour chasser et corriger sans cesse les failles.

Il y a quelque temps je lisais un article sur un blog déclarant le noyau Linux comme moins fiable que celui de Windows, et cette affirmation se basait sur la liste des vulnérabilités recensées par le CERT-FR en 2015. Je ne vais pas polémiquer sur la méthode, sur le fait qu'il aurait fallu détailler les « multiples vulnérabilités » recensées dans les bulletins, le fait qu'il y a un noyau Linux d'origine et des déclinaisons par distributions, les possibles doublons, ni sur la démarche curieuse de baser sa conclusion uniquement sur des corrections de failles, corrections faites en toute transparence par les mainteneurs des noyaux. Bref, à moins de détailler très précisément le décompte faille par faille et correction par correction aucun chiffre valable ne peut être fait sur ces bases. Je doute d'ailleurs que l'on puisse arriver à une quelconque étude digne de foi à un instant T sauf à comparer des machines faisant tourner chacune un noyau différent sur chaque distribution Linux principale et des Windows toujours en service afin de vérifier toutes les failles connues et bien entendu aussi si possible en trouver des non encore découvertes. Il faudra alors aussi vérifier la sécurité de toutes les applications car un Os ne se compose pas uniquement d'un noyau. Bref, travail immense et surtout sans fin. Et sans intérêt au final, tellement les solutions proposées aussi bien avec Linux que Windows sont nombreuses, différentes, et doivent réponde aussi à des besoins divers et variés.

Personnellement je me bornerai à dire que j'ignore quel système est le plus sûr, je sais seulement que j'obtiendrai de meilleurs résultats avec celui que je connais le mieux, c'est à dire Linux. Et il peut tout à fait en être différemment pour d'autres.

Pour autant cet article de dsfc.net, bien au-delà de la provocation facile a un gros avantage, il attire l'attention du lecteur sur un problème ayant besoin d’être moins négligé par le plus grand nombre et à sortir d'une forme d'insouciance pour certains acteurs du libre, acteurs parfois à la marge des grandes réalisations d'ailleurs, mais pas seulement eux.

Une autre chose sur le noyau Linux. Si l'on veut le sécuriser plus que d'ordinaire il existe des patchs pour répondre à certains cas, des noyaux spécialisés, comme le noyau grsecurity de Yves-Alexis Perez. À noter d'ailleurs qu'un noyau pré compilé est disponible avec Debian Sid et qu'il s'installe avec les outils dédiés et ses dépendances attr gradm2 linux-grsec-base linux-image-4.3.0-1-grsec-amd64 pax-utils paxctl. Mais attention, il ne suffit pas d'installer le noyau, il faudra le configurer. Pour cela voir corsac.net et les forums.grsecurity.net/ ou par exemple le wiki gentoo même si ces dernières pages dans l'ensemble datent un peu.

Alors, peut-on dire que le système Linux est parfaitement sûr ? Bien évidement non, et d'ailleurs qui oserait le prétendre. Comme tout système il a ses failles même si elles sont régulièrement corrigées. Mais on pourrait dire aussi que malgré ses grandes qualités, le système des droits sur les fichiers, la possibilité de les étendre encore plus avec selinux, la séparation entre user et admin, la centralisation des dépôts et bien d'autres éléments encore en matière de sécurité Linux a aussi des faiblesses.

Les faiblesses de Linux en général.

En matière de sécurité toutes les distributions ne sont pas égales. Bien entendu les distributions principales comme Debian ou Redhat, voir aussi Archlinux, Gentoo, Fedora, Ubuntu, Mageia, Suses, vont suivre et appliquer très rapidement les correctifs de sécurité sur leurs produits, il n'en sera pas de même pour toutes les distributions ou plus exactement pour tous les forks qui, faute de moyens, voire parfois par négligence ou même par incompétence, ne feront pas le travail nécessaire dans les mêmes conditions.

À titre d'exemple je prendrai la Mint, et plus exactement sa version LMDE 2 Betsy. Là, c'est flagrant, ses utilisateurs courent des risques, et plus particulièrement s'ils font les mises à jour avec l'utilitaire dédié, mintupdate. Ce dernier va récupérer la liste des paquets à mettre à jour, liste bien différente de ce qui se passe si on utilise apt ou aptitude pour maintenir sa distribution à jour. Par exemple à l'heure ou j'écris ce billet, sur une LMDE 2 amd64 (mais c'est la même choses avec une i386) le dernier noyau disponible est le noyau Debian 3.16.0-4 version 3.16.7-ckt7-1 du 01 mars 2015 alors que la Debian Stable propose le 3.16.7-ckt20-1+deb8u4 du 29 février 2016 incorporant jusqu'au CVE-2016-2550.

Si vous voulez connaître les correctifs appliqués entre le 1 mars 2015 et aujourd'hui si vous utilisez une Debian vous pouvez passer la commande :
:~$ aptitude changelog linux-image-3.16.0-4-amd64
et vous verrez qu'ils sont très très nombreux. À noter que sur une Debian Stable on peut aussi disposer du noyau des backpots, à savoir à ce jour le 4.3.5-1~bpo8+1 (2016-02-23).

Si on utilise aptitude ou apt pour les mises à jour, ou activer les niveaux 4 et 5 de mintupdate désactivés par défaut, on pourra installer le dernier noyau ainsi que de nombreux autres paquets non pris en charge par leur programme mintupdate. Mais alors quid de la gestion de toutes les dépendances ? S'ils ne les incorporent pas c'est qu'ils ont des raisons. Et puis cela n'est pas conseillé à des débutants, cœur des utilisateurs de Mint paraît-il.

La situation de la Mint 17 Qiana basée sur Ubuntu n'est guère meilleure au niveau du noyau puisque en standard est utilisé le 3.16.0-29 du 16 décembre 2014 et là, même si vous activez les 5 niveaux de préférence de mintupdate, il ne vous en sera pas proposé d'autre, sauf à passer par la ligne de commande où vous aurez le 4.2.0-30 disponible à l'installation

Je vous parle de Mint, je suis sévère dans les lignes qui précèdent pourtant cette distribution a de grandes qualités et le travail accompli est très intéressant, ce qui me fait regretter d'autant tous ces défauts, ces faiblesses qui, au final pourraient être facilement corrigées à condition de revoir le tempo, les procédures de mises à jour. Et d'ailleurs on pourrait attribuer ces mêmes faiblesses à bien d'autres forks maintenus par de petites équipes car elles ne sont pas l'apanage de Mint. À vérifier.

Là ou les problèmes se compliquent et les faiblesses se multiplient, indépendamment des noyaux, c'est lorsqu'on installe sur sa distribution, et c'est valable pour toutes, des programmes sensibles, par exemple Owncloud. Je cite Owncloud mais je pourrais en prendre bien d'autres. Il faut alors faire très attention aux correctifs apportés par les développeurs à la source et la rapidité avec laquelle ces mêmes correctifs ont été incorporés par les mainteneurs de ces paquets dans les distributions. Ils ne sont pas forcément coupables de laisser-aller ou de négligences car cela demande un travail considérable d'adaptation et parfois aussi la communication n'est pas parfaite au niveau des développeurs à la source. Et pourtant il peut dans certains cas y avoir des failles béantes non corrigées pendant un certain temps. Pour Owncloud il peut être utile dans certains cas d'installer le programme empaqueté par les développeurs Owncloud directement, quite parfois à se passer d'une meilleure intégration avec le système.

D'autres failles encore peuvent exister dans des programmes non incorporés dans les distributions, comme des systèmes de wiki, des galeries photos, des partages de données, développés par des passionnés très compétents et dévoués dans leurs branches, par exemple le php, mais moins au fait des problèmes de sécurités.

Alors, à ces faiblesses peut-on apporter des solutions ? Dans certains cas il appartient aux développeurs de ne pas négliger la sécurité, d'avoir ce problème toujours à l'esprit, d'anticiper.

Mais parfois il en va de la responsabilité de l'utilisateur. Ne pas installer n'importe quel programme sans être certain du sérieux du développeur doit faire partie de ses préoccupations. On trouve à sa disposition, en général en dehors des circuits et miroirs des grands distributions des programmes mal fichus, qui par exemple ne respectent pas la bonne gestion des droits des fichiers alors que ceci fait partie intégrante du premier rempart sécuritaire. Il y a aussi des forks réalisés à la va vite ou parfois avec des dépôts non suffisamment sécurisés comme on l'a vu dernièrement avec Mint dont un serveur a été compromis et une ( une ? ) iso contenait une porte dérobée. À l'utilisateur donc de savoir faire le tri et éviter de choisir des forks dont la plus grosse qualité reste en fin de compte la qualité du papier peint, ou sont basés sur des solutions prétendument miracles pour se démarquer de la concurrence.

Alors au final que conclure ? Oui Linux a de grandes qualités de sécurité et son développement en toute transparence est un gage de sérieux sur ce plan mais pour autant il ne faut pas se voiler la face, il y a des failles et des faiblesses, parfois dues aux développeurs, et parfois aussi à la négligence de ses utilisateurs qui, en fin de compte, en la matière ne diffèrent guère de certains utilisateurs de Windows et que l'on remarquait d'avantage car il était le système le plus utilisé. Le choix des sources de logiciels, la multiplication des ppa n'est pas innocent en matière de stabilité mais aussi de sécurité.

Windows a fait des progrès certains en matière de sécurité ces dernières années et il appartient à Linux de ne pas s'endormir sur ses lauriers. On pourrait aussi dire que certains forks peu scrupuleux ou du moins attentifs en matière de sécurité peuvent nuire sérieusement à la réputation de Linux. Et cela est d'autant plus grave si ces forks se trouvent en tête de gondole de sites comme Distrowatch. Il appartient aussi aux utilisateurs avancés de vérifier le sérieux des forks avant de les conseiller au grand public, ceci pourrait éviter aux débutants de se fourvoyer et d'en pâtir un jour.

Mais, bien plus que sur Linux, c'est sur Android que l'on risque de voir très bientôt les attaques se multiplier à l'infini.

Original post of Cyrille BORNE.Votez pour ce billet sur Planet Libre.