[Linux] Nouvelle faille de sécurité majeure ?

Cyril Chaboisseau cyril.chaboisseau@::1
Mer 1 Oct 01:49:01 CEST 2014 

* Christophe Courtois <christophe@::1> [2014-09-30 11:58 +0200]:

> Le 30/09/14 10:06, Daniel Huhardeaux a écrit :
> >>>J'avais découvert l'info sur le site du journal berlinois « die
> >>>Tageszeitung » http://www.taz.de , sorte d'équivalent allemand de
> >>>notre « Libé » ; dans leur article, ils disent sans détour que sur ce
> >>>coup, les logiciels libres en prennent un coup question crédibilité.
> >>C'est indubitable...
> >Ah? Je rappelle que Mac OS et tous les Unix sont également touchés,
> >pourquoi vouloir pointer du doigt les logiciels libres ?
> 
> Bash est libre (du moins la version que j'ai sur ma Debian, il y peut-être
> des implémentations non libres). Et dans ce composant extrêmement répandu,
> on vient de découvrir une faille monstrueuse qui était là depuis 20 ans, ce
> qui porte un coup à l'argument de la transparence qui fait sortir tous les
> bugs. Après OpenSSL & Heartbleed, preuve est faite que le libre ne garantit
> pas une sécurité comme par magie.

ah !
le bon troll comme on l'aime

primo : le LL (si tant est que l'on puisse y voir une entité cohérente
et identifiée) n'a jamais prétendu garantir une sécurité quelconque

secundo : la sécurité n'est pas un produit mais un process, et si les
différents épisodes que l'on vient de voir on pu au moins prouver, c'est
que la transparence qu'apporte les LL permet une correction en toute
transparence, mais aussi que patch ont été poussés très rapidement

tertio : ce qu'apporte les LL par rapport aux 2 principaux OS
concurrents et proprio (Win et iOS pour ne pas les nommer), c'est la
diversité par opposition à la monoculture qui est souvent synonyme de
fragilité face à un virus à l'instar de la nature
alors c'est vrai que OpenSSL et bash sont justement les contre-exemples
de cette diversité, mais d'un côté le bug heartbleed a permis une prise
de conscience sur le manque de choix et pour bash, de nombreuses
personnes s'en était déjà inquiété (d'où dash) et le switch avait déjà
été réalisé pour certaines distrib

> Evidemment, ça ne dédouane pas les softs propriétaires dont le casier est
> très chargé sur ce point. Mais du point de vue marketing c'est un coup dur.

ben oui, aucun système n'est parfait et c'est justement là le problème :
il y a d'un côté les logiciels proprio qui veulent faire croire à tout
prix qu'ils le sont (parfait... au moins du point de vue de la sécu) et
vont tout faire pour masquer les imperfections allant jusqu'à cacher les
bugs sécu où en les corrigeant en douce (security through obscurity)
et de l'autre les LL qui jouent de facto une transparence avec les
mauvais côtés que ça comporte (guerre interne, sécu discuté et corrigé
"carte sur table", etc.) et s'en fichant du côté marketing ce qui fait
bien sûr moins sérieux et moins pro alors que dans les faits, il s'avère
que c'est souvent le contraire


-- 
	Cyril Chaboisseau

The superior man understands what is right; the inferior man understands
what will sell. --  Confucius

Plus d'informations sur la liste de diffusion linux