Linux 2017

Linux 2017 : A grands pouvoirs, grandes responsabilités

Avis d’expert : Linux et le logiciel open source dirigent désormais le monde et cela signifie que nous devons travailler plus fort que jamais pour s’assurer qu’il soit fiable.

En 2016, Linux a célébré ses 25 ans. A ses débuts, il s’agissait d’un projet étudiant. Aujourd’hui, Linux fait tout fonctionner. Des smartphones aux supercalculateurs en passant par les serveurs Web et le Cloud, Linux toujours, tout le temps.

Même l’exception, l’utilisateur final, passe à Linux. Android est désormais le système d’exploitation le plus populaire. En outre, les Chromebooks gagnent en popularité. En effet, même les ordinateurs de bureau Linux traditionnels tels que Fedora, openSUSE, Mint et Ubuntu gagnent enfin du terrain. Mon ami de TechRepublic, Jack Wallen, prédit même que « la part de marché de Linux [desktop] dépassera enfin la barre des 5%. »

Bien sûr, les utilisateurs finaux ont toujours utilisé Linux. Ils ne réalisaient simplement pas que pratiquement tous les sites web populaires et nombre d’applications SaaS tournaient sous Linux.

Même Microsoft a finalement cédé à la religion Linux. Je rappelle que l’année dernière tout juste, Microsoft a rejoint la Fondation Linux.

Si tout va si bien dans le monde Linux, pourquoi alors suis-je préoccupé ? Car désormais tout véritable hacker et non un simple script-kiddie s’intéresse à Linux et à du code open source, en chasse de vulnérabilités.

C’est un fait, comme l’a dit Eric S. Raymond, un leader open-source il y a des années, dans la loi de Linus. C’est l’un des concepts clés qui ont fait le succès de Linux et du logiciel open source.

Mais cela ne fonctionne que s’il y a suffisamment d’yeux à la recherche de bugs pour corriger le code. Les estimations sur le nombre d’erreurs pour mille lignes de code (KLOC) vont de 15 à 50 erreurs par KLOC, à trois si le code est rigoureusement vérifié et testé. Le noyau Linux seul comprend aujourd’hui plus de 16 millions de lignes de code. Faites le calcul.

Sur 2016 uniquement, deux trous de sécurité majeurs dans Linux ont fait surface brièvement. Ils se situaient dans un script appelant le chiffrement de disque LUKS et Dirty Cow, un problème de mémoire. Il y a eu d’autres bugs de moindre importance. A inscrire au crédit de Linux, ces problèmes ont été résolus presque aussitôt après leur détection.

Lorsqu’il s’agit de corriger rapidement des bugs, Linux supplante Apple, Microsoft ou tout autre vendeur de logiciel propriétaire. Mais permettez-moi de faire les comptes pour vous. Cela laisse au moins près de 3000 bugs à trouver et à corriger.

De nombreux développeurs de sécurité Linux de haut rang sont occupés à chasser ces bugs. Des instructions présentent la façon de signaler les bugs lorsque vous les trouvez. Mais il n’y a jamais assez de programmeurs disponibles pour remédier aux bugs signalés.

Comme le leader Linux Jon « Maddog » Hall l’a sagement observé il y a quelques années : « Certaines personnes prétendent que le logiciel libre dispose de ressources ‘illimitées’. Chaque produit ou projet est limité en ressources d’une manière ou d’une autre. Le logiciel libre, et en particulier un logiciel, est limité par les gens qui ont la compétence, le temps et l’inclination à contribuer. Mais ce dont dispose le logiciel libre, c’est la capacité d’escalade de l’utilisateur final en cherchant ses propres ressources pour résoudre le problème si les développeurs n’ont pas le temps ou l’envie de le corriger. »

Lorsqu’il a écrit cela en 2009, nombre d’utilisateurs Linux étaient des développeurs. Ce n’est  plus le cas aujourd’hui. Oui, beaucoup de développeurs sont sous Linux, mais des centaines de millions « d’utilisateurs » de Linux seraient incapables de faire la différence entre Java et JavaScript, et donc encore moins de corriger un bug.

Dans le même temps, les hackers ont plus de raison qu’auparavant de casser Linux. Le développeur irlandais Donncha O’Cearbhaill, qui a récemment identifié des bugs dans le bureau Ubuntu, a fait savoir qu’un vendeur d’exploit lui avait offert 10.000 dollars pour ces failles. « Ces incitations financières ne font que croître à mesure que le logiciel gagne en sécurité et que s’accroît la complexité de la détection des vulnérabilités » déclarait-il.

Et c’est des broutilles. Si quelqu’un découvre par exemple un bug Linux permettant de chiffrer les données sur un serveur, on peut imaginer l’intérêt que cela représenterait pour concevoir un ransomware, permettant ainsi à des pirates d’exiger un paiement en échange de la clé. Une récente étude d’IBM Security indique que près de 70% des entreprises victimes de ransomware paient les hackers pour récupérer leurs données.

Avec des paiements potentiels considérables, Linux sera soumis à plus de tentatives de piratage que jamais à ce jour. Linux a acquis une grande puissance; maintenant ses développeurs et vendeurs doivent faire un pas en avant et prendre la grande responsabilité de maintenir sa sécurité.

Publicités

3 commentaires

  1. ptb41 · janvier 5

    Salut Tux ! 🙂

  2. Leodamgan · janvier 5

    Les ransomwares, la rançon du succès? C’est vrai que Linux commence à intéresser les nuisibles.
    Bonne année tout de même à toi, Tux!

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s