[Linux] Nouvelle faille de sécurité majeure ?

Christophe Courtois christophe@::1
Mer 1 Oct 10:34:31 CEST 2014 

Le 01/10/14 01:49, Cyril Chaboisseau a écrit :
> * Christophe Courtois <christophe@::1> [2014-09-30 11:58 +0200]:
>> Bash est libre (du moins la version que j'ai sur ma Debian, il y peut-être
>> des implémentations non libres). Et dans ce composant extrêmement répandu,
>> on vient de découvrir une faille monstrueuse qui était là depuis 20 ans, ce
>> qui porte un coup à l'argument de la transparence qui fait sortir tous les
>> bugs. Après OpenSSL & Heartbleed, preuve est faite que le libre ne garantit
>> pas une sécurité comme par magie.
> ah !
> le bon troll comme on l'aime

:-)

Tu prêches à un convaincu, évidemment, sinon je ne serais pas ici, donc 
je continue de me mettre dans le mode mental des gens que je côtoie tous 
les jours, et pour qui MS est souvent l'option la plus évidente et 
confortable (et le plus important : celle que les clients demandent).

> primo : le LL (si tant est que l'on puisse y voir une entité cohérente
> et identifiée)

Que le LL ne soit pas un bloc, on s'en fiche, il est identifié ainsi de 
manière plus ou moins consciente.
En fait je dis une bêtise : au mieux c'est identifié à l'open source. Et 
souvent qu'à des trucs de zazous.

 > n'a jamais prétendu garantir une sécurité quelconque

J'ai la flemme de chercher mais nous avons des monceaux de propagande 
sur le sujet dans les divers médias libristes depuis au bas mot 15 ans, 
souvent à côté des moqueries sur les failles béantes des produits MS.

> secundo : la sécurité n'est pas un produit mais un process, et si les
> différents épisodes que l'on vient de voir on pu au moins prouver, c'est
> que la transparence qu'apporte les LL permet une correction en toute
> transparence, mais aussi que patch ont été poussés très rapidement

En disant ça il faut rajouter l'analogie obligatoire avec les voitures : 
les constructeurs qui font le plus de rappels ne sont pas les moins sûrs.

> tertio : ce qu'apporte les LL par rapport aux 2 principaux OS
> concurrents et proprio (Win et iOS pour ne pas les nommer), c'est la
> diversité par opposition à la monoculture qui est souvent synonyme de
> fragilité face à un virus à l'instar de la nature

Quand ils entendent ça, beaucoup pensent (pas complètement à tort) à 
"cauchemar de support" et "fragmentation du marché". Tiens, rien qu'hier 
je cherche à voir avec quoi est certifiée le dernière version Linux d'un 
soft nommé BO XI 3.1 (Cyril tu connais au moins de nom :-). Je ne vois 
que RedHat dans la doc. Je fais quoi si je n'ai que Debian ? J'installe 
ce produit hyper-fragile sur du non certifié/non supporté, ou je me 
lance dans un nouvel OS ?
Dans un autre domaine, la fragmentation d'Android est un véritable 
problème pour les développeurs.
Bref, la diversité c'est nécessaire sur le long terme, Darwin oblige, 
mais sur le court terme ça fait ch... pas mal de monde.

> alors c'est vrai que OpenSSL et bash sont justement les contre-exemples
> de cette diversité, mais d'un côté le bug heartbleed a permis une prise
> de conscience sur le manque de choix et pour bash, de nombreuses
> personnes s'en était déjà inquiété (d'où dash) et le switch avait déjà
> été réalisé pour certaines distrib

En fait cette affaire aurait dû être annoncée comme une pub monstrueuse 
pour Debian aux dépens de RedHat. Il leur manque un département 
Marketing, Propagande & Mauvaise foi.  Qui aurait peut-être gardé le bug 
sous le coude jusqu'à avoir trouvé un bug Windows majeur du même calibre 
à sortir juste après.

>> Evidemment, ça ne dédouane pas les softs propriétaires dont le casier est
>> très chargé sur ce point. Mais du point de vue marketing c'est un coup dur.
> ben oui, aucun système n'est parfait et c'est justement là le problème :

C'est dans la crédibilité : le libre n'est pas parfait, donc le point 
"sécurité" est rayé (consciemment, complètement, ou pas) dans le 
comparatif entre les deux systèmes.

> il y a d'un côté les logiciels proprio qui veulent faire croire à tout
> prix qu'ils le sont (parfait... au moins du point de vue de la sécu) et
> vont tout faire pour masquer les imperfections allant jusqu'à cacher les
> bugs sécu où en les corrigeant en douce (security through obscurity)
> et de l'autre les LL qui jouent de facto une transparence avec les
> mauvais côtés que ça comporte (guerre interne, sécu discuté et corrigé
> "carte sur table", etc.) et s'en fichant du côté marketing ce qui fait
> bien sûr moins sérieux et moins pro alors que dans les faits, il s'avère
> que c'est souvent le contraire

Soyons cynique : ça ne fera pas changer d'un poil les avis de chacun. 
Les windowsistes le resteront, les libristes le resteront.





-- 
Christophe Courtois
http://coindeweb.net/

Plus d'informations sur la liste de diffusion linux