Sécurité de GNU/Linux : mythes, réalités et bonnes pratiques

[maxoxo]

Contenu supprimé

[Glenic]

Hello,

Pour ajouter une pièce au dossier :
https://wonderfall.space/linux-securite/
Article très dense et intéressant, en grande partie en français mais avec pas mal de citations en anglais.
Il y a beaucoup de détails techniques que tous ne maîtrisent pas (moi le premier )

[patoo45]

De la même façon, votre navigateur web exécute du PHP, du Javascript etc. C'est le même langage, les mêmes vulnérabilités que ça soit sous Windows ou Linux.

Bonjour, ceci est faux.
Le code est tributaire du système d'exploitation, car chaque système est spécifique, de plus concernant le noyau, c'est le matériel qui est tributaire.
Selon la longueur du mot (8, 16, 32 ou 64 bits),
le sens du poids fort et du poids faible du mot. En effet, dans un mot de 64 bits, les 32 premiers peuvent être à la fin sur un autre type de processeur.
etc...

J'avais entendu une émission sur France Inter, que la sécurité dépendait surtout de la grosseur de l'équipe de développement. Quand on a les moyens, on prend la sécurité à cœur.
De plus quand un projet n'est plus mis à jour, les failles de sécurité, nouvellement trouvées, ne sont plus "réparées".

Si Linux est aussi utilisé dans le monde du serveur, c'est parce qu'il est très performant et qu'il ne coûte pas cher, pas forcément parce qu'il est plus sécurisé.

Faux encore, souvent la maintenance du système est vendu aux entreprises, c'est même le principal commerce des grosses boites du système libre.
Je dirais, mais c'est mon opinion, que Linux est utilisé car il est développé par des passionnés qui le font vivre. Des parties de code sont entièrement réécrites s'il le faut, pour le faire évoluer.
De plus, ces développeurs le font gratuitement... Contrairement aux développeurs du privé qui appliquent la politique de la maison et c'est tout. Pourquoi faire mieux ? Pourquoi faire plus ?
Alors que la motivation des grosses boites qui utilisent l'informatique, c'est que celle-ci coute le moins possible. Chaque bogue est négocié pour savoir l'utilité monétaire de la correction.

Pour la performance, c'est le système Unix (inventé dans les années 70), qui est très simple qui donne sa force. Mais aussi ce sont les grosses boites du privé qui ont fait évolué le système.
Je me rappelle, quand IBM a arrêté son propre système Unix, pour passer à Linux, il a contribué en donnant du code à la communauté, ce qui lui (Linux) a ouvert les portes des gros systèmes.

Et oui, Linux est un descendant libre du système Unix qui a été développé ensuite dans chaque boite pour leurs propres systèmes. Ces systèmes étaient compatibles, dès fois en re-compilant le programme. Mais souvent, il fallait tenir compte de chaque système, quand on approchait l'administration du serveur. Comme maintenant, il faut adapter selon les drivers des périphériques.
@+

[maxoxo]

Bonjour Patoo,

Bonjour, ceci est faux.
Le code est tributaire du système d'exploitation, car chaque système est spécifique, de plus concernant le noyau, c'est le matériel qui est tributaire.
Selon la longueur du mot (8, 16, 32 ou 64 bits),
le sens du poids fort et du poids faible du mot. En effet, dans un mot de 64 bits, les 32 premiers peuvent être à la fin sur un autre type de processeur.
etc...

Cela ne contredit en rien mon propos. Ce que tu dis correspond à ce que j'évoque avant, la situation des binaires pour lesquels une compilation sera nécessaire pour adapter le binaire à l'OS quand bien même le logiciel serait codé avec un langage exportable (comme le C par exemple).

En revanche, la plupart des technos web sont standardisées, délivrées de la même façon par le serveur que le client soit Linux ou Windows. Quand tu visites avec ton navigateur web, il reçoit les requêtes http, php, js de la part du serveur et les interprètent avec son moteur de rendu pour t'afficher la page. Le site n'est pas codé différemment pour Linux ou pour Windows. Par conséquent, si le site contient du mode malveillant et que la protection du navigateur n'a rien détecté, la faille sera la même. Une faille au sein de Firefox permettant une escalade de privilèges ou d'exécuter du code arbitraire sur le système peut donc être identique sur Windows ou Linux, c'est à l'étape d'après que le hacker doit s'adapter aux spécificités de l'OS.

Tu peux regarder les bulletins de sécurité de Mozilla pour Firefox et les alertes du CERT-FR, tu verras que la plupart du temps, les vulnérabilités découvertes concernent indifféremment Linux et Windows.

Faux encore, souvent la maintenance du système est vendu aux entreprises, c'est même le principal commerce des grosses boites du système libre.
Je dirais, mais c'est mon opinion, que Linux est utilisé car il est développé par des passionnés qui le font vivre. Des parties de code sont entièrement réécrites s'il le faut, pour le faire évoluer.

Là encore, tu ne me contredis pas, tu évoques autre chose. Mon propos était de dire que si Linux est maintenant très utilisé dans certains secteurs, ce n'est parce qu'il est plus sécurisé. C'est un argument qu'on entend beaucoup et qui est faux. Ton écrit confirme aussi cela puisque tu mets en avant d'autres arguments que la sécurité.

La réalité c'est que dans la majorité des entreprises/administrations tu as toujours en interne du Windows Server pour le domaine (Active Directory) et d'autres joyeusetés windowsienne. Mais dès qu'il s'agit de Web on va privilégier Linux parce que c'est adaptable, plus performant et moins cher. Une entreprise c'est pragmatique, elle prend ce qui fonctionne le mieux et coûte le moins cher. Le coût de la licence y est pour beaucoup.

La plupart des administrations/entreprises en ont rien à faire de la philosophie du libre, des contributions et de la communauté. La vérité d'aujourd'hui, c'est qu'une entreprise va pas payer des licences ou de la maintenance alors que le même objectif peut être atteint par une technologie sans surcoût software. Combien déploient Apache ou Nginx pour leurs besoins commerciaux parce que leur personnel sait le faire sans rien verser à la communauté ou au développement ?

De plus, ces développeurs le font gratuitement... Contrairement aux développeurs du privé qui appliquent la politique de la maison et c'est tout. Pourquoi faire mieux ? Pourquoi faire plus ?
Alors que la motivation des grosses boites qui utilisent l'informatique, c'est que celle-ci coute le moins possible. Chaque bogue est négocié pour savoir l'utilité monétaire de la correction.

La plupart des gros projets libres utilisés dans le monde professionnel sont réalisés par des développeurs rémunérés. Canonical et Red Hat, on commence à être loin des passionnés désintéressés hein...

Le libre n'est pas par définition mieux sécurisé que le propriétaire, c'est un mythe. Ils ont les mêmes problèmes tous les deux et ils existent des choses très bien dans les deux camps. Tout dépend du sérieux des devs et des utilisateurs. Le point 1.c que j'ajoute à mon post va explorer un peu plus cette partie.

Comprenons-nous bien, je suis libriste depuis 13 ans, passionné et attaché et à cette philosophie. L'idée du post n'est certainement pas de critiquer Linux, mais juste de décrire honnêtement ce qu'il en est aujourd'hui en termes de sécurité sur les distributions grand public les plus utilisées.

[Glenic]

Bonjour,
Le débat commence à être un peu trop technique pour les amateurs comme moi.

Ce qui serait bien, ce serait de savoir comment on peut augmenter le niveau de sécurité sur un PC équipé d'un OS libre,
disons "standard", tiens "au hasard" -> Linux Mint !

J'ai déjà fait un progrès, j'ai mis un mot de passe "administrateur" !
La partition où se trouve mes données est divisée en 2 parties :
- une en accès libre (sauf mot de passe pour ouvrir ma session) pour les données courantes.
- une autre chiffrée avec LUKS pour les données perso sensibles
Il reste à évaluer le niveau de risque avec la navigation Internet (Firefox, version 93.0 avec 2 extensions : Privacy Badger et uBlockOrigin) et les éventuels problèmes du Cloud (un petit espace chez Zaclys pour le courant)

[maxoxo]

Hello,

Désolé j'ai un peu disparu sans finir ce post. Faut dire qu'entre l'arrivée d'un bébé prochainement, une vie professionnelle très chargée et surtout des parents que je dois aider, le temps devient une ressource très restreinte.

Ce qui serait bien, ce serait de savoir comment on peut augmenter le niveau de sécurité sur un PC équipé d'un OS libre,
disons "standard", tiens "au hasard" -> Linux Mint !

On peut repartir sur quelque chose comme ça oui. Après, les distributions grand public ont quand même fait des progrès ces derniers temps.

En fait, je pense que ma rédaction n'est pas bonne si elle est interprétée comme une critique. Nous avons tous notre attachement à Linux et je suis désolé si j'ai heurté les convictions de certains. La réalité reste qu'en matière de sécurité : il y a beaucoup de croyances autour de Linux et du libre qui peuvent induire en erreur.

[patoo45]

Pour rebondir sur la sécurité, voici un article :
Pourquoi l'open source rend les entreprises plus sûres et plus innovantes

[maxoxo]

Pour rebondir sur la sécurité, voici un article :
Pourquoi l'open source rend les entreprises plus sûres et plus innovantes

Bonjour Patoo45,

Malheureusement ce qui est décrit dans cette chronique reste à l'heure actuelle de l'utopie. Sur le papier, le libre permettrait effectivement d'atteindre ce monde idéal. Mais c'est la différence entre les principes, la conception puis les réalités de la mise en oeuvre. L'article n'est pas un article technique donnant des informations, mais une chronique engagée avec une idéologie derrière.

Ce que j'ai tenté d'expliquer et je le reconnais, de façon maladroite dans mon post c'est qu'il y a des réalités techniques qui heurtent beaucoup de croyances et c'est un vrai problème parce que l'enjeu de la cybersécurité aujourd'hui est tellement crucial qu'on ne peut pas se permettre des guerres claniques entre tenants du logiciel libre ou du propriétaire. On a besoin de la collaboration entre les deux pour atteindre les objectifs.

Je peux te dire que parmi les professionnels de la protection des données ou de la SSI, nous sommes désormais tous agnostiques sur la question propriétaire ou libre : ce qui compte c'est la réalité de la protection et de faire le meilleur choix dans un contexte donné. On met nos convictions personnelles de côté. Ce n'est pas parce que j'ai critiqué aujourd'hui le niveau de sécurité natif des distributions Linux ou d'Android que je ne suis pas un militant du libre (tous ceux qui me connaissent IRL à travers Re-Boot savent très bien quelles sont mes convictions). Simplement, aller affirmer de but en blanc que le libre est forcément mieux côté sécurité est quelque chose que je ne ferais pas pour la simple raison que c'est techniquement faux.

Je crois que l'immense faille Log4Shell qui nous a pourri la fin de l'année 2021 le démontre bien. Le fait que des chercheurs aient réussi à introduire volontairement des vulnérabilités dans plusieurs projets opensource témoigne aussi que le modèle du libre n'est pas infaillible. Je ne parle même pas de DirtyPipe la faille Linux qui a donné des sueurs froides à certains en combinaison d'autres failles (comme celle de Log4Shell justement).

Il y a des tas de bons arguments pour utiliser du libre plutôt que du propriétaire : mais celui de la sécurité n'est pas toujours un argument réaliste.

[Glenic1]

Hello,
Pour remettre "une pièce dans le juke-box" au sujet du débat sur la sécurité des systèmes Linux, voici une tribune qui semble intéressante :
https://ubuntu.com/blog/is-linux-secure
C'est récent (1er août 2022). Mais c'est en anglais !
Je ne l'ai pas lue en entier (c'est un peu long), mais je me dépêche de laisser une trace ici dans le bon sujet, pour y revenir plus tard.
A bientôt