La sécurité via Obscurity est-elle plus sûre qu'un logiciel Open Source?
Les utilisateurs de Linux citent souvent les avantages de la sécurité parmi les raisons pour lesquelles ils préfèrent les logiciels open source. Étant donné que le code est accessible à tous, il y a de plus en plus d'œil à la recherche de bugs potentiels. Ils se réfèrent à l'approche opposée, où le code n'est visible que pour les développeurs, comme une sécurité par l'obscurité. Seules quelques personnes peuvent voir le code et les personnes souhaitant tirer profit des bogues ne figurent pas sur cette liste..
Bien que ce langage soit courant dans le monde de l'open source, il ne s'agit pas d'un problème spécifique à Linux. En fait, ce débat est plus ancien que les ordinateurs. Alors la question est réglée? Est une approche réellement plus sûr que l'autre, ou est-il possible qu'il y ait la vérité à la fois?
Qu'est-ce que la sécurité par l'obscurité??
La sécurité par l'obscurité est le recours au secret comme moyen de protéger les composants d'un système. Cette méthode est partiellement adoptée par les sociétés à l'origine des systèmes d'exploitation commerciaux les plus performants d'aujourd'hui: Microsoft, Apple et, dans une moindre mesure, Google. L'idée est que si les mauvais acteurs ne savent pas qu'il existe une faille, comment peuvent-ils en tirer avantage? 3 Bogues Windows 98 à revoir 3 Bugs Windows 98 à revendre Est-ce juste la nostalgie qui me garde attaché à ce système d'exploitation ou Windows 98? vraiment utile de se souvenir? Ce système d'exploitation publié il y a 15 ans a connu des hauts et des bas. Les critiques ont été plutôt sévères… Lire la suite ?
Vous et moi ne pouvons pas comprendre le code qui exécute Windows (à moins que vous n’ayez une relation avec Microsoft). La même chose est vraie de macOS. Google sources ouvertes les composants de base d'Android Android est vraiment Android Open Source? Et est-ce même important? Android est-il vraiment une source ouverte? Et est-ce même important? Nous explorons ici si Android est vraiment une source ouverte. Après tout, il est basé sur Linux! En savoir plus, mais la plupart des applications restent propriétaires. De même, Chrome OS est en grande partie open source, à l'exception des éléments spéciaux qui séparent Chrome de Chrome. Google Eavesdropping est-il destiné aux utilisateurs de Chrome? Google Eavesdropping est-il destiné aux utilisateurs de Chromium? Les développeurs open source ont découvert que la version Debian de Chromium télécharge du code depuis Google enregistre l’utilisateur via un micro PC et retransmet l’audio à des fins d’analyse. Google vous écoute-t-il? Lire la suite .
Quels sont les inconvénients?
Comme nous ne pouvons pas voir ce qui se passe dans le code, nous devons faire confiance aux entreprises qui prétendent que leurs logiciels sont sécurisés. En réalité, ils disposent peut-être de la sécurité la plus solide du secteur (comme cela semble être le cas avec les services en ligne de Google), ou encore de trous criants qui persistent pendant des années et qui sont embarrassants..
La sécurité par l'obscurité, à elle seule, ne fournit pas un système sécurisé. Ceci est considéré comme une donnée dans le monde de la cryptographie. Le principe de Kerckhoff affirme qu'un système cryptographique devrait être sécurisé même si les mécanismes tombent entre les mains de l'ennemi. Ce principe remonte à la fin des années 1800.
La maxime de Shannon a suivi au 20ème siècle. Il dit que les gens devraient concevoir des systèmes en partant du principe que les opposants vont immédiatement les connaître.
Dans les années 1850, le serrurier américain Alfred Hobbs a montré comment choisir des serrures à la pointe de la technologie fabriquées par des fabricants qui affirmaient que le secret rendait leurs conceptions plus sûres. Les gens qui gagnent leur vie (pour ainsi dire) en serrant les verrous deviennent vraiment bon à cueillir des serrures. Ce n’est peut-être pas parce qu’ils n’en ont jamais vu un auparavant..
Cela se voit dans les mises à jour de sécurité régulières fournies par Windows, macOS et d’autres systèmes d’exploitation propriétaires. Si garder le code confidentiel était suffisant pour cacher les défauts, ils n'auraient pas besoin de correctifs.
La sécurité par l'obscurité ne peut être la seule solution
Heureusement, cette approche n’est que partie du plan défensif de ces entreprises prennent. Google récompense les personnes qui découvrent des failles de sécurité dans Chrome et ce n’est pas le seul géant de la technologie à utiliser cette tactique..
Les entreprises de technologie propriétaires dépensent des milliards pour sécuriser leurs logiciels. Ils ne comptent pas entièrement sur la fumée et les miroirs pour éloigner les méchants. Au lieu de cela, ils comptent sur le secret en tant que première couche de défense, ralentissant les attaquants en leur rendant plus difficile l'obtention d'informations sur le système qu'ils cherchent à infiltrer..
Le problème est que, parfois, la menace ne provient pas de l'extérieur du système d'exploitation. Microsoft facilite vos préoccupations en matière de confidentialité Windows 10 Microsoft simplifie vos préoccupations en matière de confidentialité Windows 10 Avant la publication de la mise à jour de Creators, Microsoft répond aux préoccupations des utilisateurs en matière de confidentialité concernant Windows 10. Mais Cela suffira-t-il à apaiser les défenseurs de la vie privée? Lire la suite . La sortie de Windows 10 a montré à de nombreux utilisateurs qu'un comportement indésirable pouvait provenir du logiciel lui-même. Microsoft a intensifié ses efforts pour collecter des informations sur les utilisateurs Windows afin de monétiser davantage son produit. Qu'est-ce qu'il fait avec ces données, nous ne savons pas. Nous ne pouvons pas regarder le code pour voir. Et même lorsque Microsoft s’ouvre, il reste volontairement vague.
La sécurité Open Source est-elle meilleure??
Lorsque le code source est public, davantage d’œil sont disponibles pour détecter les vulnérabilités. S'il y a des bogues dans le code, pense-t-on, quelqu'un les repèrera. Et ne pensez pas à insérer une porte dérobée dans votre logiciel. Quelqu'un remarquera, et ils vont vous appeler.
Peu de gens s'attendent à ce que les utilisateurs finaux visualisent et donnent un sens au code source. Cela incombe aux autres développeurs et experts en sécurité. Nous pouvons nous reposer en sachant qu'ils font ce travail en notre nom.
Ou pouvons-nous? Nous pouvons établir un parallèle facile avec le gouvernement. Lorsque de nouvelles lois ou décrets sont adoptés, des journalistes et des professionnels du droit examinent parfois les documents. Parfois, il passe sous le radar.
Des insectes tels que Heartbleed nous ont montré que la sécurité n'est pas garantie. Parfois, les bogues sont tellement obscurs qu’ils perdent des décennies sans être détectés, même si le logiciel est utilisé par des millions de personnes (pour ne pas dire que cela ne se produit pas non plus sous Windows). Cela peut prendre un certain temps pour découvrir des problèmes tels que d'appuyer 28 fois sur la touche Retour arrière pour contourner le lockscreen. Et ce n'est pas parce que beaucoup de gens peuvent consulter le code qu'ils le font. Encore une fois, comme on le voit parfois au gouvernement, les documents publics peuvent être ignorés simplement parce que ennuyeuse.
Alors, pourquoi Linux est-il généralement considéré comme un système d'exploitation sécurisé? Linux est-il vraiment aussi sécurisé que vous le pensez? Linux est-il vraiment aussi sécurisé que vous le pensez? Linux est souvent présenté comme le système d'exploitation le plus sécurisé sur lequel vous puissiez vous mettre la main, mais est-ce vraiment le cas? Examinons différents aspects de la sécurité informatique Linux. Lire la suite ? Bien que cela soit en partie dû aux avantages de la conception de style Unix, Linux bénéficie également du grand nombre de personnes investies dans son écosystème. Avec des organisations aussi diverses et variées que Google et IBM au département américain de la Défense et au gouvernement chinois, le gouvernement chinois a une nouvelle distro Linux: est-ce un bien? Le gouvernement chinois a un nouveau distro Linux: est-ce bon? Ubuntu Kylin est une version très personnalisée d'Ubuntu Linux, construite par le gouvernement chinois et destinée aux utilisateurs chinois. Contrairement aux autres projets Linux basés sur le gouvernement, Ubuntu Kylin est en fait assez bon! En savoir plus, de nombreuses parties investissent dans la sécurisation du logiciel. Comme le code est ouvert, les utilisateurs sont libres d’apporter des améliorations et de les soumettre à d’autres utilisateurs de Linux. Ou bien, ils peuvent garder ces améliorations pour eux-mêmes Open Source versus logiciel libre: quelle est la différence et pourquoi est-ce important? Logiciel libre contre logiciel libre: quelle est la différence et pourquoi est-ce important? Beaucoup supposent que "open source" et "logiciel libre" signifient la même chose, mais ce n'est pas vrai. Il est dans votre intérêt de connaître les différences. Lire la suite . À titre de comparaison, Windows et macOS sont limités aux améliorations apportées directement par Microsoft et Apple..
De plus, alors que Windows peut être dominant sur les ordinateurs de bureau, Linux est largement utilisé sur les serveurs et autres éléments de matériel critiques. De nombreuses entreprises aiment avoir la possibilité de créer leurs propres solutions lorsque les enjeux sont aussi importants. Et si vous êtes vraiment paranoïaque, les systèmes d'exploitation Linux pour The Paranoid: quelles sont les options les plus sécurisées? Systèmes d'exploitation Linux pour The Paranoid: Quelles sont les options les plus sécurisées? Le passage à Linux offre de nombreux avantages aux utilisateurs. D'un système plus stable à une vaste sélection de logiciels open source, vous êtes gagnant. Et cela ne vous coûtera pas un centime! Lisez Plus ou devez vous assurer que personne ne surveille ce qui se passe sur votre PC, vous ne pouvez le faire que si vous pouvez vérifier le code en cours sur votre ordinateur..
Quel modèle de sécurité préférez-vous??
De l'avis général, les algorithmes de chiffrement doivent être ouverts, à condition que les clés soient privées. Comment fonctionne le chiffrement et est-il vraiment sans danger? Comment fonctionne le cryptage et est-il vraiment sûr? Lire la suite . Mais il n'y a pas de consensus sur le fait que tous les logiciels seraient plus sûrs si le code était ouvert. Ce n'est peut-être même pas la bonne question à poser. D'autres facteurs ont une incidence sur la vulnérabilité de votre système, tels que la fréquence à laquelle les exploits sont découverts et leur rapidité de réparation..
Néanmoins, la nature fermée de Windows ou de macOS vous laisse-t-il mal à l'aise? Les utilisez-vous quand même? Considérez-vous cela comme un avantage, pas un préjudice? Carillon dans!
En savoir plus sur: la sécurité informatique, le chiffrement, Linux, l'Open Source.