Le gouvernement US s’interroge sur les vulnérabilités de Linux

L’étude du gouvernement américain – qui accuse Linux d’être trois fois plus vulnérable que Windows ? est largement remise en cause?

Le

United States Computer Emergency Readiness Team (US-CERT) dans son Cyber Security Bulletin 2005 révèle que sur 5.198 failles portées à sa connaissance en 2005, 812 ont concerné Windows, 2.328 Linux/Unix et 2.058 ont été multi systèmes. Et le US-CERT de dresser un portrait critique de l’open source et d’interpeller les autorités américaines en charge de la sécurité des Etats-Unis. Une charge qui fait généralement mouche dans un pays où la paranoïa est élevée au rang d’un art de vie ! Si l’on se réfère aux conclusions de l’étude, Windows est le système d’exploitation qui présente le moindre danger pour les utilisateurs. Une conclusion qui est loin de faire l’unanimité et qui soulève de nombreuses critiques. Tout d’abord, les chiffres de Windows ne concernent que trois produits : XP, NT et 98. En face, les chiffres concernent les Unix AIX, HP-UX et Solaris, ainsi que BSD et une centaine de distributions de Linux. Une vision réductrice qui met tous les Unix et Linux dans un même panier et tendrait à faire croire que l’ensemble des vulnérabilités constatées menace chaque version et distribution ! Ce qui d’ailleurs est une interprétation qui dessert aussi Windows. L’analyse du US-CERT est donc largement soumise à interprétation. A y regarder de plus près, par exemple, on découvre que Mac OS X, le système d’exploitation d’Apple, figure parmi les Unix/Linux? Ce qui peut se justifierpar l’origine du code, soit ! Mais que fait alors le navigateur Firefox dans ce même regroupement. Figurent donc dans la catégorie Unix/Linux des applicatifs qui n’ont rien à voir avec les OS ! Mais le plus gros reproche que l’on puisse faire à l’étude est d’imposer une confusion entre les chiffres et la sécurité. D’abord parce qu’un faille sous Windows menace 90 % des PC, alors que l’envergure d’une faille sous Unix ou Linux est autrement plus limitée. Comme l’a indiqué le gourou de la sécurité de Sophos, Graham Cluley, à Linux.com : « Juste parce qu’une plate-forme présente plus de vulnérabilités ne veut pas nécessairement dire qu’elle est moins sécurisée qu’une autre. Il est important de considérer le volume des activités des hackers associé à une faille spécifique« . Et de rappeler que « nous avons constaté que la majorité des virus informatiques sont présents sur Windows« . Windows qui demeure donc la cible favorite, n’en déplaise à l’US-CERT !