Sûreté des OS: retour sur des statistiques controversées
La communauté Linux est-elle susceptible? C'est l’avis de Mi2g dont un rapport a conclu que les systèmes Linux n'étaient pas les plus sûrs. S’il est risqué de parler de la sûreté d’un OS en tant que tel, la méthodologie de l'étude anglaise manque de fiabilité.
Les conclusions de l'étude sur la sûreté des systèmes d'exploitation (OS), publiée le 19 février par Mi2g, ont suscité quelques remous. La société de sécurité informatique britannique estimait en effet que «Linux est devenu, pour la première fois, l'OS serveur le plus percé à jour par des attaques distantes, alors que le nombre d'intrusions réussies contre les serveurs basés sur Windows se sont réduites graduellement, sur les dix derniers mois.» Ce rapport, dont nous nous sommes fait l'écho, a entraîné une véritable levée de boucliers, de la part de défenseurs du plus célèbre des OS libres.
Une réaction un tantinet trop violente aux yeux de Mi2g, elle aussi apparemment très susceptible, qui a publié un communiqué au titre évocateur: «Troubler la sacro-sainte église Linux». «Toute preuve empirique, mettant en évidence un taux élevé de failles dans les systèmes Linux connectés au net, est immédiatement contestée par des fanatiques religieux, comme si une église avait été profanée», a déclaré la société britannique. «Mi2g croit en la révolution de l'open source (…) cependant, nous maintenons qu'aucun OS n'est parfait, y compris Linux.»
Plus un indicateur qu'une étude représentative
Reste que l'étude de Mi2g manque cruellement, après nos propres vérifications, de transparence. Interrogé par ZDNet France, DK Matai, président de la société s'explique. «L'étude portait sur janvier, premier mois pendant lequel Linux est passé devant Windows, en nombre d'attaques, avec 80% de ces dernières. Les données ont été obtenues en surveillant les réseaux informatiques de plus d'un millier d'entreprises et plus d'une centaine d'agences gouvernementales et d'administrations dans le monde, qui sont nos clients», a précisé le responsable.
En insistant, ce dernier a consenti à livrer quelques détails. Ainsi, sur l'ensemble de l'année 2003, Mi2g a recensé, chez ses clients professionnels, un total de 221.717 attaques réussies. 151.582 concernent les systèmes Linux (68,4% du total), contre 45.752 pour Windows (XP, 2003 et NT), soit 20,6%. Pour être précis, 6.659 d'entre elles ont visé Win NT9x et 793 le dernier Server 2003. En 3e position, arrivent les «OS inconnus» (11.629 attaques réussies, 5,2%), en 4e BSD avec 6.659 (3%), puis plus loin se trouvent Solaris (1,3%), AIX (0,4%), Unix (0,4%). MacOS (471 attaques, soit 0,2%) se classe en 11e position et BSD (207, 0,1%) en 13e.
Sur son échantillon d'agences gouvernementales et d'administrations, Mi2g a détecté 2.075 attaques réussies. Cette fois, les systèmes Windows (55%) sont en tête, suivent ensuite Linux (32%), les «OS inconnus»(9%), puis très loin derrière BSD (1,8%), Solaris (1,1%), AIX (0,7%), Unix (0,2%), MacOS, HP-UX, BSD, Irix et Novell (0,1% chacun soit 2 attaques chacun).
Le problème de ce constat statistique, c'est qu'il est difficile d'en tirer des conclusions solides. Pour la simple et bonne raison qu'on ne connaît pas, et Mi2g encore moins, la répartition exacte des environnements qui ont servi de base à l'étude. La hausse des attaques réussies sur des environnements Linux en 2003, et particulièrement en janvier 2004, «peut en partie s'expliquer par la croissance du nombre de machines équipées en OS Linux», a consenti à nous expliquer DK Matai. Un phénomène proportionnel, en quelque sorte, au succès du système d'exploitation. «Une explication est également a trouver du côté des administrateurs système, qui ne sont pas encore tous très bien entraînés sur Linux», a-t-il poursuivi.
Au final, les conclusions de l'étude sont donc à relativiser. Il ne s'agit que d'une photographie à un instant "t" sur un panel non représentatif.
Ce qu'en pensent les experts :
Reste que cette étude est intitulée "Le système d'exploitation le plus sûr du monde". Et met sur la plus haute marche du podium, à égalité, la famille open source BSD et MacOS X (tous deux très proches techniquement), devant les autres (GNU/Linux, Windows...).
Quant à l'expression "système d'exploitation le plus sûr" (pas "le plus sécurisé"), les experts relativisent un tel critère de sélection pour juger de la qualité d'un environnement informatique. «Dire qu'un système d'exploitation est le plus sûr au monde est ridicule», tranche Stelian Pop, consultant chez Alcôve, qui se présente comme la «première société européenne d'expertise en informatique libre».
advertisement
Précision importante, qui éteindra peut-être une partie de l'incendie créé par ce rapport: «les attaques observées sur Linux l'ont été majoritairement au niveau des applications et non à celui du système d'exploitation en tant que tel.» Car tout dépend du contexte dans lequel un OS est utilisé, et surtout des applications.
«Un logiciel libre ou "open source", dont les systèmes d'exploitation à base de noyau Linux, n'est pas un gage de sécurité en soi», nous expliquait récemment Christophe Jolivet, consultant chez Lynx Technologies, cabinet de conseil spécialisé dans la sécurité informatique. Ce dernier s'était élevé contre cette idée reçue, lors de la dernière conférence du Club de la sécurité des systèmes d'information français (Clusif). «Dire qu'un OS Linux est plus sûr que Windows est réducteur. Il faut comparer les systèmes dans leur globalité et ne pas tomber dans les généralités. Trop d'entreprises spécialisées dans les solutions de sécurité ont utilisé avec excès l'open source comme argument commercial», déplore-t-il.
«Ce qui est certain en revanche», reprend le consultant d'Alcôve, «c'est que les OS libres bénéficient d'un avantage considérable, grâce à leur code ouvert permettant une revue de code permanente. Les failles sont donc corrigées dans un temps record.»
Quant aux conclusions de l'étude donnant les familles BSD et MacOS X comme les OS les plus sûrs: «BSD possède effectivement un développement moins rapide que Linux, ce qui implique moins de risques de failles. Il permet cependant de faire moins de choses que Linux, mais sans conteste de manière plus sécurisée. Quant à MacOS X, il est basé sur un noyau Unix BSD, les deux systèmes sont donc comparables».
Source: http://www.zdnet.fr/actualites/technolo ... 111,00.htm
Slts @ tous -DELL- 
