Discussion :

[Michael Guilloux]

Bon nombre d’outils Linux de base requièrent plus d’investissements en sécurité
D’après une enquête de Linux Foundation

La Fondation Linux a récemment publié les résultats d’une enquête sur les outils Linux nécessitant des investissements en sécurité. L’enquête - dont les résultats sont disponibles sur la page GitHub de la fondation - s’inscrit dans le cadre du projet Core Infrastructure Initiative (CII).

Le CII est un projet visant à financer et soutenir des projets de logiciels libres et open source qui sont essentiels pour le fonctionnement de l'Internet et d'autres grands systèmes d'information. Le projet a été annoncé il y a un peu plus d’un an de cela, suite à la vulnérabilité critique Heartbleed dans OpenSSL, sachant ce dernier est utilisé sur des millions de sites Web.

Vu que bon nombre de logiciels open source sont largement utilisés, une vulnérabilité pourrait avoir de graves conséquences. Si en effet, certains projets mobilisent de nombreux développeurs qui effectuent des analyses de sécurité en profondeur, d’autres par contre ne bénéficient que de petites équipes qui n’ont pas toujours le temps d’effectuer les tâches nécessaires pour garantir une forte sécurité. Le projet CII vise donc à recenser cette 2è catégorie de projets qui nécessitent plus d’attention des développeurs afin d’y investir dès maintenant, avant que des problèmes de sécurité ne surviennent. Ces projets ont donc été identifiés lors d’une enquête de la fondation.

Les résultats de l’enquête montrent que les développeurs accordent beaucoup plus d’importance aux outils de chiffrement, serveurs web et agents de messagerie entre autres. Toutefois, il existe aussi des packages utilisés par tous mais dont personne ne se soucie vraiment.

Parmi les 394 projets sélectionnés, les projets ftp, netcat-traditional, tcdp et whois sont en tête du classement avec une note de 11/16. Le score est un indice synthétique construit à partir de plusieurs métriques. Les métriques évaluent l’exposition à des risques de sécurité des différents projets en s’intéressant à la maintenance effectivement reçue pour chaque projet, le nombre de contributeurs, la popularité, l’importance et le nombre de CVE associés au projet entre autres. Il faut avant tout noter qu’un score élevé ne signifie pas que le projet doit être abandonné ou qu’il est vulnérable. Les grands scores indiquent seulement que le projet mérite plus d’attention et d’investissement en sécurité qu’il en a actuellement.

De ce fait, le projet OpenSSL a un score plus faible de 8/16, après avoir bénéficié d’un financement suite à la vulnérabilité Heartbleed. Le projet apache2 relatif au méta-package d’Apache HTTP Server est un vaste projet « d’une importance vitale » qui a enregistré de nombreuses vulnérabilités au fil des ans. Cependant, il a également obtenu une note de 8/16 en partie grâce à « un grand développement et une équipe de suivi déjà en place. »

Les résultats révèlent aussi que certains outils liés à BIND, l’un des serveurs DNS les plus utilisés sur internet, spécialement pour les systèmes de type UNIX, nécessitent plus d’investissements en sécurité. Le projet bind9 par exemple a obtenu un score de 8/16.

Parmi les projets qui mériteraient plus d’attention de la part des développeurs, figure le projet bzip2. Bzip2 est largement utilisé pour la décompression de données de réseau. Toutefois, il ne bénéficie d’aucun référentiel de code, seulement des archives des codes sources publiés. Sa dernière mise à jour date de 2010, en réponse à une vulnérabilité. Aucun forum ne lui est associé. Le projet vient en 9è position dans le classement avec une note de 9/16. Plus de détails sur les notations des autres projets de la liste sont donnés sur la page GitHub de la Fondation Linux.

Il faut aussi noter que dans cette première enquête, seuls les projets open source associés à Debian Linux ont été pris en compte, par contrainte de temps.

Sources : Projet de recensement, Résultats de l’enquête

Et vous ?

Que pensez-vous de l’initiative et des résultats de l’enquête ?

[supergeoffrey]

Il serait bien de comparer les notes avec les logiciels d'un autre OS.
Une note est relatif à un correcteur. C'est comme à l'école.

[SurferIX]

Rien que le titre "De nombreux outils Linux de base requièrent plus d'investissements en sécurité" est un non sens. Des millions de gens peuvent lire le code, donc c'est mathématique : beaucoup plus de gens sont susceptibles de le modifier, comparé au code source de Windows.

J'aimerais qu'une étude honnête soit enfin faite, bon sang !
Bien évidemment, personne ne fera un comparatif de :
- nombre total de failles découvertes sur Linux, Apple et Windows
- nombres de failles zéro day facilement exploitables jusqu'à correction sur Linux, Apple et Windows

sur les dix dernières années. Et là, Microsoft s'en mangerait une dans les dents, je vous raconte pas la taille !

[BufferBob]

Rien que le titre "De nombreux outils Linux de base requièrent plus d'investissements en sécurité" est un non sens. Des millions de gens peuvent lire le code, donc c'est mathématique : beaucoup plus de gens sont susceptibles de le modifier, comparé au code source de Windows.

ouai mais tout le monde n'est pas capable de faire un audit sécurité sur le projet TrueCrypt ou OpenSSL par exemple, les sources ont beau être disponibles ça nécessite une expertise que peu de gens ont, donc quand c'est comme ça ben on fait appel à une entreprise spécialisée et ça coute des sous, cqfd

[SurferIX]

ouai mais tout le monde n'est pas capable de faire un audit sécurité sur le projet TrueCrypt ou OpenSSL par exemple, les sources ont beau être disponibles ça nécessite une expertise que peu de gens ont, donc quand c'est comme ça ben on fait appel à une entreprise spécialisée et ça coute des sous, cqfd

Encore une fois : on a beaucoup plus de chance qu'un passionné lise le code et l'analyse à des fins de sécurité s'il est open source, que d'essayer d'aller chercher "à la main" une personne vraiment compétente qui puisse faire le travail.
Comme dirait Linus Torvalds : ce n'est pas une guerre, ou une concurrence, c'est juste un état de fait : comme il est gratuit et entièrement open source, Linux va naturellement s'imposer, ce n'est qu'une question de temps.

[marsupial]

Il serait bien de comparer les notes avec les logiciels d'un autre OS.
Une note est relatif à un correcteur. C'est comme à l'école.

Lien vers le NIST, la base de données du gouvernement américain des failles logicielles.

L'article relatif pour 2014 :

un smartphone Android reste 3 fois plus sur qu'un PC Windows

A noter que MacOSX et Linux disposent de plus de failles que Windows. Mais linux a le moins de failles critiques pour 10 kernels délivrés chaque année alors qu'en 2014 Apple n'en a livré qu'un seul pour aucun chez MS.
Android étant le plus répandu, les hackers se tournent naturellement vers cet OS qui reste le plus sécurisé.

Sur la news en elle même il s'agit tout simplement d'un constat : tout le monde utilise de l'open source dans son infrastructure. Pourtant sur les 3 milliards de connectés au web à 50$ en moyenne ( 150 milliards par mois pour les opérateurs ), si 0,5% de passionnés contribuaient à faire évoluer une commande universelle sans équivalent proprio comme whois, cela profiterait à tous, comme :

pulvérisation du record absolu de gain de valorisation en une journée

[ustensile]

faut arrêter, si j'étais un hackeur, je me ferait surement pas chier à trouver une faille sur du Linux, je plongerais droit dans la vieille faille windows ou adobe ou flash ou autre chose qui est là depuis longtemps et probablement pour longtemps. Tant qu'on ne sanctionnera pas financièrement les éditeurs, ils n'auront aucune raison de patcher leurs applis. De toute façon, bons ou mauvais, les logiciels windows se vendront, pourquoi se compliquer la vie, les actionnaires seront contents.

[alain_du_lac]

Comment, LINUX pourrait être vulnérable ?
C'est intolérable d'écrire des évidences pourtant éclatantes : AUCUN système ne sera jamais à l'abri de failles et d'attaques.
Pour le coup Windows est certainement plus sûr que LINUX, car maintenu en permanence par une armée de programmeurs chez MS.
Mais chut, il ne faut pas le dire ... Les adorateurs de la "secte" ne vous pas aimer du tout... Je suis déjà mort

[katsuo49]

Et pourquoi "une armée" de quelques 200-300 développeurs seraient plus efficace qu'une communauté complète ? Et puis honnêtement, y'a combien de mec qui sont vraiment sur la sécurité chez MS ? Perso je pense pas qu'il y en ait tant que ça vu le nombre de faille qu'ils essaient de cacher chaque année. Sans compter que quand d'autres boîtes leurs indiquent des failles à corriger, ils les ignorent complètement (cf. une affaire récente avec Google). Et puis ton armée de mec chez MS vs quelques boîtes comme Google et Intel qui taff sur la sécurité de Linux en partenariat avec la fondation, je vois pas tellement la différence.

Et puis de toutes façons la question n'est pas là, ici on a la fondation Linux qui dit cash que rien n'est parfait, que même si tout le monde fait au mieux y'aura toujours des failles et que y'a souvent pas assez de gens sur chaque projet qui ont le temps de s'en occuper, donc faut les aider pour que ça soit mieux et laisser passer moins de faille, même si certains de ces projets n'ont pratiquement pas eut de grosse faille critique. La question n'est windows vs linux.

[BufferBob]

[pcdwarf]

je suis assez consterné de voir ressurgir une Nième fois le vieux troll linux vs windows avec des argument massue mais creux qui ne présentent aucun intérêt.

Comme on l'a déjà écrit ici, AUCUN système d'exploitation ou logiciel n'est infaillible.
Quiconque prétends le contraire est un imbécile qui ferait bien de s'intéresser à l'histoire de la sécurité informatique depuis ses débuts.

Heartbleed est une faille gravissime ? Oui c'est vrai.
Shellshock aussi.

Oui, et alors ?
Est-ce le fait que le logiciel soit open-source qui les a produite ?

Le fait que le logiciel soit open-source a permis de bien voir à quel point l'erreur était grosse.
C'est nettement plus dur à montrer quand on a pas les sources mais ça n'en est pas moins grave quand ça arrive (et ça arrive... souvent... très souvent...).

En combien de temps ces failles ont-elle été bouchées ?
Quelques heures.
Et le déploiement s'est fait en moins de 48 heures pour quiconque est un peu sérieux dans la gestion de ses serveurs...
Comparativement, des failles graves de chez MS, Apple ou Adobe sont restées plusieurs mois avant d'être corrigées...
De toute façon il n'y a que l'éditeur qui peut pousser la mise à jour via son système d'update alors pourquoi le sysadmin s’inquièterait ?

Mais pour revenir eu débat "Outils linux nécessitant plus d'investissement en sécurité".
Je pense que la notion "d'investissement" est tout simplement hors de propos quand on parle de logiciels libres.
Qu'une entreprise qui vends de la sécurité investisse dans la vérification du code, c'est complètement normal.
Pour elle, publier un code vulnérable est un échec grave dans leur cœur de métier. ça nuit lourdement à leur crédibilité.
Pourquoi vous paie-t-on si vous êtes aussi vulnérables que les autres ?
A ce propos il est étrange que bon nombre de fabricants sensés produire du code propriétaire original et bien béton ont urgemment sorti un patch de sécurité critique dans les semaines suivant ces failles sans toutefois entrer dans les détails de qu'est-ce que le patch corrige... de là à penser que.....

La plupart des logiciels libres sont fournis "tel quel" partant du principe que c'est gratuit et que donc, si vous n'êtes pas contant vous n'avez qu'a passer votre chemin ou contribuer à son amélioration.
Un logiciel libre, c'est pas un produit qu'il faut vendre / qui a un marché.
A mon sens, un des gros problèmes des logiciels libres est justement d'avoir voulu "prendre des parts de marché" ce qui a nécessité de réorienter considérablement leurs objectifs.
La course à la feature "neuneufriendly" est à mon sens une véritable peste pour la maintenabilité du code et donc, à plus ou moins long terme, sur sa qualité. Plutôt que de se concentrer à faire correctement ce pourquoi on les fait, les applis ne cessent d'essayer d'étendre leur périmètre. Elle deviennent des monstres Frankenstein bourrées de plugins, de frameworks, de wrappers...
Quand c'est du logiciel propriétaire, on peut comprendre que la pression commerciale conduise à ce genre de dérives. Pour du libre, j'avoue ne pas comprendre.
Mais je m'écarte du sujet....
Mon propos était de dire qu'en matière de sécurité, le mieux est encore de laisser ceux qui s'en occupent faire de leur mieux. Ce n'est pas parce qu'ils sont spécialistes qu'ils sont infaillibles mais ce n'est pas en leur rajoutant des empilages de vérificateurs douteux que le code deviendra meilleur. Si vraiment une équipe est mauvaise, des gens meilleurs finiront par faire un fork de meilleure qualité (ou pas)...

L'histoire du logiciel libre a montré que la sélection naturelle était efficace. Je ne pense pas qu'il faille tenter d'interférer dans ce processus.

[Spok66]

Oui, et alors ?
Est-ce le fait que le logiciel soit open-source qui les a produite ?

Non mais ça détruit l'argument principal des inconditionnels du libre qui est que la communauté audit et corrige plus rapidement le code.

Dans ce cas ci ,encore une fois, c'est loin d’être le cas.