Linux a-t-il été victime de son propre succès?

Publicité

Jim Zemlin est le chef du Fondation Linux. Leur mission est de «promouvoir, protéger et faire progresser Linux». Alors, pourquoi Jim a récemment dit que le «Âge d'or de Linux» pourrait bientôt prendre fin?

La réponse à cela réside dans la capacité de la communauté Linux à faire face aux problèmes de sécurité. Il s'avère que c'est plus difficile que vous ne le pensez.

Une vague de problèmes de sécurité

Les 48 derniers mois ont été brutaux pour Linux. Ce n'est pas une hyperbole. Des failles de sécurité majeures ont été détectées dans presque toutes les distributions, avec de graves conséquences pour les utilisateurs finaux.

Celui qui avait le plus de notoriété était Heartbleed. Cette vulnérabilité affectée OpenSSL Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite , et a permis à un attaquant de lire la mémoire du serveur vulnérable et de voler les clés secrètes utilisées dans le chiffrement asymétrique.

Comme vous vous en doutez, cela a fondamentalement miné l'intégrité du chiffrement en ligne. À l'époque, des millions de systèmes étaient en danger. À ce jour, environ 200 000 systèmes ne sont pas corrigés.

Puis il y a eu Shellshock. C'était une autre vulnérabilité sérieuse, affectant cette fois le shell BASH. Une fois exploité, un attaquant pourrait exécuter son propre code malveillant sur des systèmes OS X, BSD et Linux vulnérables. nous a écrit à ce sujet en septembre dernier Pire que Heartbleed? Découvrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux Lire la suite .

Enfin, il y a le Vulnérabilité Linux GHOST La faille fantôme de Linux: tout ce que vous devez savoirLa vulnérabilité GHOST est une faille dans une partie vitale de chaque distribution Linux majeure. Il pourrait, en théorie, permettre aux pirates de prendre le contrôle des ordinateurs sans avoir besoin d'un nom d'utilisateur ou d'un mot de passe. Lire la suite . C'était aussi désagréable que les autres vulnérabilités en termes de quantité de systèmes affectés et de potentiel d'abus qui l'accompagnait.

La vulnérabilité GHOST était un débordement de tampon trouvé dans la glibc, où un attaquant distant pouvait envoyer un paquet conçu contenant une charge utile de shellcode, qui serait exécuté en toute confiance par le système vulnérable le reçu. Cela aurait permis à un attaquant d'exécuter ses propres commandes arbitraires, sans même un nom d'utilisateur ou un mot de passe.

Budgets et bénévoles

Ce n'était pas une liste exhaustive. Comme l'a souligné Zemlin, mais chaque vulnérabilité a quelque chose en commun. Ils ont tous impacté d'importants composants Linux qui souffraient d'un manque de fonds ou d'un manque de bénévoles.

Prenez OpenSSL, par exemple. Au cours des mois précédant la découverte de Heartbleed, il avait reçu moins de 2 000 $ en dons. Selon Zemlin, il a longtemps été entretenu par deux développeurs bénévoles. Par coïncidence, tous deux s'appelaient Steve.

NTPd - qui est chargé de s'assurer que tous les ordinateurs Linux connectés à Internet sont à l'heure, et est essentiel pour que le cryptage fonctionne - est en cours d'élaboration par un volontaire à temps partiel. Bash et OpenSSH sont dans une situation similaire.

Pendant ce temps, le noyau Linux regorge de fonds et de bénévoles, et est pris en charge par certains des plus grands noms de la technologie, comme Red Hat, Google et même Microsoft, quoique pas pour longtemps. Il y a une énorme inégalité dans l'allocation des ressources, certains composants Linux de base étant mieux lotis que d'autres.

Autrefois, Linux pouvait dépendre de sa sécurité grâce à l'obscurité. Mais comme il est de plus en plus utilisé comme serveur et système d'exploitation de bureau, il ne peut plus en dépendre. Linux est désormais une cible incroyablement lucrative pour les pirates informatiques et autres neer-do-well numériques.

L'ensemble de la communauté Linux doit s'assurer que les petites parties du système d'exploitation, mais souvent oubliées, sont suffisamment financées, dotées de personnel et capables de faire face aux menaces de sécurité à mesure qu'elles apparaissent.

Successeur de Linux

Mais si ces changements ne se produisent pas et que la sécurité fondamentale de Linux est remise en question, il semble que toutes les entreprises et certains utilisateurs, sauf certaines, iront ailleurs. Mais où iront-ils?

OpenBSD

La devise de OpenBSD est "Seulement deux trous distants dans l'installation par défaut, en un rien de temps!".

C'est vrai.

OpenBSD a été fondé par Theo De Raadt en 1996. Il a commencé sa vie comme un fork de NetBSD, après que le célèbre feu De Raadt ait été expulsé de ce projet en raison de «différences de personnalité».

Depuis lors, seules deux vulnérabilités exploitables à distance ont été découvertes dans OpenBSD. C'est une somme négligeable par rapport à Linux, Windows, et oui, NetBSD.

Ce n’est pas un hasard. OpenBSD est conçu dès le départ pour être sécurisé. Chaque ligne de code est méticuleusement auditée pour les bogues et les failles de sécurité, et les développeurs doivent se conformer à des directives strictes de codage sécurisé. Crucialement, c'est petitet est livré avec une quantité réduite de packages logiciels dans l'installation par défaut, réduisant ainsi le nombre de vecteurs d'attaque potentiels.

Bien qu'OpenBSD soit obscur, bon nombre de ses composants ont trouvé du succès dans d'autres systèmes d'exploitation, comme OpenSSL, OpenNTPD et le pare-feu PF (Packet Filter).

Cette philosophie de «sécurité dès la conception» séduit les entreprises qui souhaitent éviter les failles de sécurité embarrassantes et les utilisateurs qui recherchent une expérience informatique plus sécurisée.

Pour une comparaison plus détaillée entre Linux et BSD, consultez cette pièce de Danny Steiben Linux contre BSD: lequel utiliser?Les deux sont basés sur Unix, mais c'est là que s'arrêtent les similitudes. Voici tout ce que vous devez savoir sur les différences entre Linux et BSD. Lire la suite .

Windows 10

Je connais. Approuver Windows 10 et suggérer que Linux pourrait avoir atteint son apogée, c'est presque comme signer mon propre mandat d'exécution. À tout le moins, cela provoquera certainement des commentaires colériques.

Mais même si certains pourraient ne pas l'admettre, l'immense richesse de Microsoft lui confère une immunité relative à certains des problèmes auxquels Linux est confronté.

Si une vulnérabilité grave survient dans une partie vitale de Windows 10, par exemple, il ne fait aucun doute que Microsoft aurait les fonds et la main-d'œuvre disponibles pour y faire face. Microsoft n’a pas à se fier à la motivation de chaque volontaire. Ils ont des employés dévoués et rémunérés.

Bien que les antécédents de Windows en matière de sécurité tout-en-un soient controversés, Windows 10 est une amélioration considérable par rapport aux versions précédentes, et a été présenté comme le "Windows le plus sécurisé de tous les temps".

Mais même si ce n'est pas le cas, c'est de loin le meilleur Windows de tous les temps. Avec son esthétique repensée 10 bonnes raisons de passer à Windows 10Windows 10 arrive le 29 juillet. Vaut-il une mise à niveau gratuite? Si vous attendez avec impatience Cortana, un jeu de pointe ou un meilleur support pour les appareils hybrides - oui, certainement! Et... Lire la suite ,navigateur amélioré Comment configurer Microsoft Edge, le navigateur par défaut dans Windows 10Le nouveau navigateur Internet de Microsoft Edge a fait sa première apparition dans Windows 10 Insider Preview. Il est toujours rugueux sur les bords, mais élégant et rapide. Nous vous montrons comment migrer et le configurer. Lire la suite , et Cortana Cortana arrive sur le bureau et voici ce qu'elle peut faire pour vousL'assistant numérique intelligent de Microsoft est-il aussi compétent sur le bureau Windows 10 qu'elle l'est sur Windows Phone? Cortana a beaucoup d'attentes sur ses épaules. Voyons comment elle résiste. Lire la suite , c'est une joie d'utiliser à la fois sur le bureau et la tablette Dans quelle mesure Windows 10 fonctionne-t-il sur une petite tablette?Windows 10 prend d'assaut les appareils de Windows 8 mécontent et des utilisateurs curieux de Windows 7. L'expérience PC est excellente, mais comment fonctionne-t-elle sur les petits écrans? Matthew a testé Windows 10 sur ... Lire la suite .

Malgré cela, l'idée d'utiliser Windows 10 pourrait être un peu trop désagréable pour de nombreux utilisateurs de Linux.

Y a-t-il un espoir pour Linux?

Le monde Linux a un problème majeur. Comment peut-il garantir que les composants importants, mais souvent négligés, du système d'exploitation disposent de ressources suffisantes? Si ce n'est pas résolu, vous pouvez presque garantir que les prédictions de Jim Zemlin se réaliseront, et Linux entrera dans un déclin lent et imparable.

Mais qu'est ce que tu penses? La fin est proche pour Linux? Ou survivra-t-il? Faites-moi savoir ce que vous pensez dans les commentaires ci-dessous.

Crédits photo: omihay / Shutterstock.com, Pot en verre (Images de citronnier)