Jim Zemlin est le chef de la Linux Foundation. Leur mission est de "promouvoir, protéger et faire progresser Linux". Alors, pourquoi Jim a-t-il récemment déclaré que «l'âge d'or de Linux» pourrait bientôt prendre fin?
La réponse à cela réside dans la capacité de la communauté Linux à faire face aux problèmes de sécurité. Il s'avère que c'est plus difficile que vous ne le pensez.
Une vague de problèmes de sécurité
Les 48 derniers mois ont été brutaux pour Linux. Ce n'est pas hyperbole. Des vulnérabilités de sécurité majeures ont été trouvées dans presque chaque distribution, avec des conséquences sérieuses pour les utilisateurs finaux.
Celui qui avait le plus de notoriété était Heartbleed. Cette vulnérabilité a eu un impact sur OpenSSL Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? En savoir plus, et a permis à un attaquant de lire la mémoire du serveur vulnérable et de voler les clés secrètes utilisées dans le cryptage asymétrique.
Ceci, comme vous pouvez vous y attendre, a fondamentalement miné l'intégrité du chiffrement en ligne. À l'époque, des millions de systèmes étaient à risque. À ce jour, on estime que 200 000 systèmes ne sont pas touchés.
Ensuite, il y avait Shellshock. C'était une autre vulnérabilité sérieuse, affectant cette fois le shell BASH. Une fois exploité, un attaquant pourrait exécuter son propre code malveillant sur les systèmes OS X, BSD et Linux vulnérables. Nous avons écrit à ce sujet en septembre dernier, Worse Than Heartbleed? Rencontrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux, pire que Heartbleed? Découvrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux En savoir plus.
Enfin, il y a la vulnérabilité Linux Ghost La faille Ghost Linux: tout ce que vous devez savoir La faille Ghost Linux: tout ce que vous devez savoir La vulnérabilité GHOST est une faille dans une partie vitale de chaque distribution Linux majeure. Il pourrait, en théorie, permettre aux pirates de prendre le contrôle des ordinateurs sans avoir besoin d'un nom d'utilisateur ou d'un mot de passe. Lire la suite . C'était aussi désagréable que les autres vulnérabilités en termes de nombre de systèmes touchés, et le potentiel d'abus qui l'accompagnait.
La vulnérabilité GHOST était un débordement de tampon trouvé dans la glibc, où un attaquant distant pouvait envoyer un paquet soigneusement conçu contenant une charge utile de shellcode, qui serait exécuté avec confiance par le système vulnérable à la réception. Cela aurait permis à un attaquant d'exécuter ses propres commandes arbitraires, sans même un nom d'utilisateur ou un mot de passe.
Budgets et bénévoles
Ce n'était pas une liste exhaustive. Comme l'a souligné Zemlin, chaque vulnérabilité a quelque chose en commun. Ils ont tous eu un impact sur des composants Linux importants qui souffraient d'une pénurie de fonds ou d'une pénurie de bénévoles.
Prenez OpenSSL, par exemple. Dans les mois qui ont précédé la découverte de Heartbleed, il avait reçu moins de 2 000 $ de dons. Selon Zemlin, il a longtemps été maintenu par deux développeurs bénévoles. Par coïncidence, les deux s'appelaient Steve.
NTPd - qui est chargé de s'assurer que tous les ordinateurs Linux connectés à Internet sont à l'heure, et est vital pour le chiffrement de travailler - est travaillé par un bénévole à temps partiel. Bash et OpenSSH sont dans la même situation désespérée.
Pendant ce temps, le noyau Linux est plein de fonds et de bénévoles, et est soutenu par certains des plus grands noms de la technologie, comme Red Hat, Google et même Microsoft, mais pas pour longtemps. Il y a une énorme inégalité avec l'allocation des ressources, avec certains composants Linux de base mieux lotis que d'autres.
Auparavant, Linux pouvait dépendre de la sécurité à travers l'obscurité. Mais comme il est de plus en plus utilisé comme serveur et OS de bureau, il ne peut plus dépendre de cela. Linux est maintenant une cible incroyablement lucrative pour les pirates informatiques et les autres néophytes numériques.
Toute la communauté Linux doit s'assurer que les petites parties, souvent oubliées, de l'OS sont suffisamment financées, dotées en personnel et capables de gérer les menaces de sécurité à mesure qu'elles apparaissent.
Le successeur de Linux
Mais si ces changements échouent et que la sécurité fondamentale de Linux est remise en question, il semble que toutes les entreprises et tous les utilisateurs iront ailleurs. Mais où iront-ils?
OpenBSD
La devise d'OpenBSD est "Seulement deux trous distants dans l'installation par défaut, dans un diable de longue date!" .
C'est vrai.
OpenBSD a été fondé par Theo De Raadt en 1996. Il a commencé sa vie comme une branche de NetBSD, après que le célèbre De Raadt ait été expulsé de ce projet en raison de "différences de personnalité".
Depuis lors, seules deux vulnérabilités exploitables à distance ont été découvertes dans OpenBSD. C'est une somme négligeable, comparée à Linux, Windows, et oui, NetBSD.
Ce n'est pas un accident. OpenBSD est conçu dès le départ pour être sécurisé. Chaque ligne de code est minutieusement vérifiée pour détecter les bogues et les failles de sécurité, et les développeurs doivent se conformer à des directives strictes de codage sécurisé. Fondamentalement, c'est petit, et est livré avec une quantité réduite de progiciels dans l'installation par défaut, réduisant ainsi le nombre de vecteurs d'attaque potentiels.
Bien qu'OpenBSD soit obscur, beaucoup de ses composants ont trouvé le succès dans d'autres systèmes d'exploitation, comme OpenSSL, OpenNTPD, et le pare-feu PF (Packet Filter).
Cette philosophie de «sécurité par conception» séduit les entreprises soucieuses d'éviter les problèmes de sécurité embarrassants et les utilisateurs à la recherche d'une expérience informatique plus sécurisée.
Pour une comparaison plus détaillée entre Linux et BSD, regardez ce morceau de Danny Steiben Linux vs. BSD: Which Should You Use? Linux vs. BSD: que devez-vous utiliser? Les deux sont basés sur Unix, mais c'est là que s'arrêtent les similitudes. Voici tout ce que vous devez savoir sur les différences entre Linux et BSD. Lire la suite .
Windows 10
Je connais. Approuver Windows 10 et suggérer que Linux pourrait avoir atteint son apogée, c'est presque signer mon propre mandat d'exécution. À tout le moins, il est certain de provoquer des commentaires en colère.
Mais bien que certains ne veuillent pas l'admettre, l'immense richesse de Microsoft lui confère une relative immunité face à certains des problèmes rencontrés par Linux.
Si une vulnérabilité sévère surgit dans une partie vitale de Windows 10, par exemple, il ne fait aucun doute que Microsoft disposerait des fonds et de la main-d'œuvre nécessaires pour y faire face. Microsoft ne doit pas compter sur la motivation des volontaires individuels. Ils ont des employés dévoués et payés.
Bien que le bilan de Windows en matière de sécurité globale soit sujet à débat, Windows 10 constitue une amélioration considérable par rapport aux versions précédentes et a été présenté comme la «Windows la plus sécurisée de tous les temps».
Mais même si ce n'est pas le cas, c'est facilement le meilleur Windows jamais. Avec son esthétique remodelé 10 Raisons impérieuses de mettre à niveau vers Windows 10 10 raisons impérieuses de passer à Windows 10 Windows 10 arrive le 29 juillet. Vaut-il la peine de mettre à jour gratuitement? Si vous êtes impatient de Cortana, un jeu à la pointe de la technologie, ou un meilleur support pour les appareils hybrides - oui, certainement! Et ... Lire la suite, navigateur amélioré Comment configurer Microsoft Edge, le navigateur par défaut dans Windows 10 Comment configurer Microsoft Edge, le navigateur par défaut dans Windows 10 Le nouveau navigateur Internet de Microsoft Edge a fait sa première apparition dans Windows 10 Insider Preview. Il est encore rugueux sur les bords, mais élégant et rapide. Nous vous montrons comment migrer et configurer. Lire la suite, et Cortana Cortana arrive sur le bureau et voici ce qu'elle peut faire pour vous Cortana arrive sur le bureau et voici ce qu'elle peut faire pour vous L'assistant numérique intelligent de Microsoft est compétent sur le bureau Windows 10 comme sur Windows Phone? Cortana a beaucoup d'attentes sur ses épaules. Voyons voir comment elle tient. Lire la suite, c'est une joie à utiliser à la fois sur le bureau et la tablette Comment fonctionne Windows 10 sur une petite tablette? Comment fonctionne Windows 10 sur une petite tablette? Windows 10 prend d'assaut les appareils de Windows 8 mécontents et les utilisateurs curieux de Windows 7. L'expérience PC est géniale, mais comment fonctionne-t-elle sur les petits écrans? Matthew a testé Windows 10 sur ... Lire la suite.
Malgré cela, l'idée d'utiliser Windows 10 pourrait être un peu trop désagréable pour beaucoup d'utilisateurs de Linux.
Y a-t-il un espoir pour Linux?
Le monde Linux a un problème majeur. Comment peut-il garantir que les composants significatifs, mais souvent négligés, de l'OS disposent de ressources suffisantes? Si ce n'est pas résolu, alors vous pouvez tout à fait garantir que les prédictions de Jim Zemlin deviendront réalité, et Linux entrera dans un déclin lent et imparable.
Mais qu'est ce que tu penses? La fin est proche pour Linux? Ou survivra-t-il? Faites-moi savoir ce que vous pensez dans les commentaires ci-dessous.
Crédits photo: omihay / Shutterstock.com, pot de verre (Lemon Tree Images)