Linux

Linux a-t-il été victime de son propre succès?

Linux a-t-il été victime de son propre succès? / Linux

Jim Zemlin est le responsable de la Linux Foundation. Leur mission est de “promouvoir, protéger et faire progresser Linux”. Alors, pourquoi Jim a-t-il dit récemment que le “l'âge d'or de Linux” pourrait bientôt se terminer?

La réponse à cette question réside dans la capacité de la communauté Linux à faire face aux problèmes de sécurité. Il s'avère que c'est plus difficile que vous ne le pensez.

Une rafale de problèmes de sécurité

Les 48 derniers mois ont été brutaux pour Linux. Ce n'est pas une hyperbole. Des vulnérabilités de sécurité majeures ont été détectées dans presque chaque distribution, avec des conséquences graves pour les utilisateurs finaux..

Celui qui a la plus grande notoriété est Heartbleed. OpenSSL Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite et rendu possible pour un attaquant de lire la mémoire d'un serveur vulnérable et de voler les clés secrètes utilisées dans le cryptage asymétrique.

Comme on pouvait s'y attendre, cela a fondamentalement compromis l'intégrité du cryptage en ligne. À l'époque, des millions de systèmes étaient à risque. À ce jour, on estime à 200 000 le nombre de systèmes non corrigés.

Puis il y avait Shellshock. Il s'agissait d'une autre vulnérabilité grave affectant cette fois le shell BASH. Lorsqu'il est exploité, un attaquant peut exécuter son propre code malveillant sur les systèmes OS X, BSD et Linux vulnérables. Nous avons écrit à ce sujet en septembre dernier Worse Than Heartbleed? Découvrez ShellShock: une nouvelle menace pour la sécurité d’OS X et de Linux pire que le chaos? Découvrez ShellShock: une nouvelle menace pour la sécurité sous OS X et Linux Continuer .

Enfin, il y a la vulnérabilité Linux GHOST La faille Ghost Linux: tout ce que vous devez savoir La faille Ghost Linux: tout ce que vous devez savoir La vulnérabilité GHOST est une faille dans une partie vitale de chaque distribution majeure de Linux. En théorie, cela pourrait permettre aux pirates de prendre le contrôle de leurs ordinateurs sans avoir besoin d’un nom d’utilisateur ou d’un mot de passe. Lire la suite . C’était aussi méchant que les autres vulnérabilités en termes de nombre de systèmes affectés et de possibilité d’abus qui y était associé..

La vulnérabilité GHOST consistait en un dépassement de tampon trouvé dans la glibc, dans lequel un attaquant distant pourrait envoyer un paquet soigneusement construit contenant une charge utile en shellcode, qui serait exécuté de manière fiable par le système vulnérable lors de sa réception. Cela aurait permis à un attaquant d'exécuter ses propres commandes arbitraires, sans même un nom d'utilisateur ou un mot de passe.

Budgets et Volontaires

Ce n'était pas une liste exhaustive. Comme l'a souligné Zemlin, chaque vulnérabilité a cependant quelque chose en commun. Ils ont tous eu un impact sur des composants Linux importants qui manquaient de fonds ou de volontaires..

Prenez OpenSSL, par exemple. Dans les mois qui ont précédé la découverte de Heartbleed, il avait reçu moins de 2 000 dollars en dons. Selon Zemlin, il a longtemps été entretenu par deux développeurs bénévoles. Par coïncidence, tous deux s'appelaient Steve.

NTPd - chargé de veiller à ce que tous les ordinateurs Linux connectés à Internet soient à l'heure et essentiel pour le cryptage - est traité par un volontaire à temps partiel. Bash et OpenSSH sont dans une situation similaire.

Pendant ce temps, le noyau Linux regorge de fonds et de volontaires, et est soutenu par certains des plus grands noms de la technologie, tels que Red Hat, Google et même Microsoft, mais pas pour longtemps. Il y a une énorme inégalité dans l'allocation des ressources, certains composants de base de Linux étant mieux lotis que d'autres.

Auparavant, Linux pouvait compter sur la sécurité grâce à l'obscurité. Mais comme il est de plus en plus utilisé comme système d'exploitation de serveur et de bureau, il ne peut plus en dépendre. Linux est maintenant une cible incroyablement lucrative pour les pirates informatiques et autres malins numériques..

Toute la communauté Linux doit s'assurer que les parties les plus petites, mais souvent oubliées, du système d'exploitation sont suffisamment financées, dotées en personnel et capables de gérer les menaces à la sécurité dès leur apparition..

Successeur de Linux

Mais si ces changements ne se produisent pas et que la sécurité fondamentale de Linux est remise en question, il semble que toutes les entreprises, à l'exception de certaines entreprises et certains utilisateurs, se déplaceront ailleurs. Mais où iront-ils?

OpenBSD

La devise d'OpenBSD est “Seulement deux trous distants dans l'installation par défaut, dans un sacré bout de temps!”.

C'est vrai.

OpenBSD a été fondée par Theo De Raadt en 1996. Elle a commencé comme une fourchette de NetBSD, après que le notoirement fougueux De Raadt ait été expulsé de ce projet en raison de “différences de personnalité”.

Depuis lors, seules deux vulnérabilités exploitables à distance ont été découvertes dans OpenBSD. C’est une somme négligeable comparée à Linux, Windows et, oui, NetBSD.

Ce n'est pas un hasard OpenBSD est conçu dès le départ pour être sécurisé. Chaque ligne de code est minutieusement auditée pour détecter les bugs et les failles de sécurité, et les développeurs doivent se conformer à des directives de codage sécurisées strictes. Surtout, c'est petit, et vient avec une quantité réduite de packages logiciels dans l'installation par défaut, réduisant ainsi le nombre de vecteurs d'attaque potentiels.

Bien qu'OpenBSD soit obscur, beaucoup de ses composants ont réussi dans d'autres systèmes d'exploitation, tels qu'OpenSSL, OpenNTPD et le pare-feu PF (Packet Filter)..

Ce “sécurité par conception” ethos est attrayant pour les entreprises qui souhaitent éviter les problèmes de sécurité embarrassants et pour les utilisateurs qui recherchent une expérience informatique plus sécurisée..

Pour une comparaison plus détaillée entre Linux et BSD, consultez cet article de Danny Steiben Linux vs BSD: Lequel devriez-vous utiliser? Linux vs BSD: lequel devriez-vous utiliser? Les deux sont basés sur Unix, mais les similitudes s'arrêtent là. Voici tout ce que vous devez savoir sur les différences entre Linux et BSD. Lire la suite .

Windows 10

Je connais. Endosser Windows 10 et suggérer que Linux aurait atteint son apogée revient presque à signer mon propre mandat d'exécution. À tout le moins, il est certain de provoquer des commentaires colériques.

Mais, même si certains n’aimeront peut-être pas l’admettre, l’immense richesse de Microsoft lui confère une immunité relative face à certains des problèmes auxquels Linux est confronté..

Si une vulnérabilité grave apparaît dans une partie vitale de Windows 10, par exemple, il ne fait aucun doute que Microsoft disposerait des fonds et de la main-d'œuvre nécessaires pour la gérer. Microsoft ne doit pas compter sur la motivation de volontaires individuels. Ils ont des employés dévoués et rémunérés.

Bien que le bilan de Windows en matière de sécurité globale reste à débattre, Windows 10 représente une amélioration considérable par rapport aux versions précédentes et a été présenté comme le “Windows le plus sécurisé de tous les temps”.

Mais même si ce n'est pas le cas, c'est sans aucun doute le meilleur système Windows de tous les temps. Avec son esthétique réaménagée 10 raisons impérieuses de passer à Windows 10 10 raisons convaincantes de passer à Windows 10 Windows 10 arrive le 29 juillet. Vaut-il la peine de passer à la version gratuite? Si vous êtes impatient de jouer à Cortana, à un jeu ultramoderne ou à une meilleure prise en charge des appareils hybrides, oui! Et… En savoir plus, navigateur amélioré Comment configurer Microsoft Edge, le navigateur par défaut de Windows 10 Comment configurer Microsoft Edge, le navigateur par défaut de Windows 10 Le nouveau navigateur Internet de Microsoft, Edge, a fait sa première apparition dans Windows 10 Insider Preview. C'est toujours rugueux sur les bords, mais élégant et rapide. Nous vous montrons comment migrer et le configurer. En savoir plus et Cortana Cortana arrive sur le bureau et voici ce qu'elle peut faire pour vous Cortana arrive sur le bureau et voici ce qu'elle peut faire pour vous L'assistant numérique intelligent de Microsoft est-il aussi compétent sur le bureau Windows 10 que sur Windows Phone? Cortana a beaucoup d'espoir sur ses épaules. Voyons comment elle résiste. En savoir plus, c'est un plaisir d'utiliser à la fois le bureau et la tablette. Comment Windows 10 fonctionne-t-il correctement sur une toute petite tablette? Dans quelle mesure Windows 10 fonctionne-t-il sur une petite tablette? Windows 10 prend d'assaut les appareils de Windows 8 mécontent et les utilisateurs curieux de Windows 7. L’expérience PC est formidable, mais comment fonctionne-t-il sur de petits écrans? Matthew a testé Windows 10 sur… En savoir plus .

Malgré cela, l'idée d'utiliser Windows 10 pourrait être un peu trop désagréable pour de nombreux utilisateurs de Linux.

Y a-t-il de l'espoir pour Linux??

Le monde Linux a un problème majeur. Comment peut-il garantir que les composants importants, mais souvent négligés, du système d’exploitation disposent de ressources suffisantes? Si cela n'est pas corrigé, vous ne pouvez que garantir que les prédictions de Jim Zemlin se réaliseront et que Linux entrera dans un déclin lent et imparable..

Mais que pensez-vous? La fin est-elle proche pour Linux? Ou va-t-il survivre? Faites-moi savoir ce que vous pensez dans les commentaires ci-dessous.

Crédits photos: omihay / Shutterstock.com, pot en verre (Images de citronnier)

En savoir plus sur: Sécurité informatique, Linux.