Les utilisateurs de Linux citent souvent les avantages de la sécurité comme l'une des raisons de préférer les logiciels open source. Comme le code est ouvert à tous, il y a plus d'yeux qui cherchent des bugs potentiels. Ils se réfèrent à l'approche inverse, où le code est seulement visible pour les développeurs, comme la sécurité à travers l'obscurité. Seules quelques personnes peuvent voir le code, et les personnes qui veulent profiter des bogues ne sont pas sur cette liste.
Bien que ce langage soit courant dans le monde open source, il ne s'agit pas d'un problème spécifique à Linux. En fait, ce débat est plus ancien que les ordinateurs. Alors, la question est-elle réglée? Une approche est-elle réellement plus sûre que l'autre, ou est-il possible qu'il y ait de la vérité dans les deux?
Qu'est-ce que la sécurité par l'obscurité?
La sécurité par l'obscurité est le recours au secret comme moyen de protéger les composants d'un système. Cette méthode est en partie adoptée par les entreprises à l'origine des systèmes d'exploitation commerciaux les plus performants d'aujourd'hui: Microsoft, Apple et, dans une moindre mesure, Google. L'idée est que si les mauvais acteurs ne savent pas qu'une faille existe, comment peuvent-ils en profiter? 3 Windows 98 Bugs Worth Revisiting 3 Windows 98 Bugs Worth Revisiting Est-ce juste de la nostalgie qui me garde attaché à ce système d'exploitation, ou était Windows 98 vaut vraiment la peine de se souvenir? Ce système d'exploitation publié il y a 15 ans a connu des hauts et des bas. Les critiques ont été plutôt sévères ... En savoir plus?
Vous et moi ne pouvons pas faire une pointe sur le code qui fait fonctionner Windows (sauf si vous avez une relation avec Microsoft). La même chose est vraie pour macOS. Google open sources les composants de base d'Android est Android Open Source? Et est-ce encore important? Android est-il vraiment Open Source? Et est-ce encore important? Ici, nous explorons si Android est vraiment open source. Après tout, il est basé sur Linux! Lire la suite, mais la plupart des applications restent propriétaires. De même, Chrome OS est largement open source, à l'exception des bits spéciaux qui séparent Chrome de Google Chromium Google Eavesdropping sur Chromium Users? Google écoute-t-il les utilisateurs de Chromium? Les développeurs open source ont découvert que la version Debian de Chromium télécharge le code de Google, enregistre l'utilisateur via un micro PC et restitue l'audio en retour pour analyse. Google vous écoute-t-il? Lire la suite .
Quels sont les inconvénients?
Puisque nous ne pouvons pas voir ce qui se passe dans le code, nous devons faire confiance aux entreprises lorsqu'elles disent que leur logiciel est sécurisé. En réalité, ils peuvent avoir la sécurité la plus forte dans l'industrie (comme cela semble être le cas avec les services en ligne de Google), ou ils peuvent avoir des trous flagrants qui traînent pendant des années.
La sécurité par l'obscurité, à elle seule, ne fournit pas de système de sécurité. Ceci est considéré comme acquis dans le monde de la cryptographie. Le principe de Kerckhoff fait valoir qu'un cryptosystème devrait être sécurisé même si les mécanismes tombent entre les mains de l'ennemi. Ce principe remonte à la fin des années 1800.
La maxime de Shannon a suivi au 20ème siècle. Il dit que les gens devraient concevoir des systèmes en supposant que les opposants se familiariseront immédiatement avec eux.
Dans les années 1850, le serrurier américain Alfred Hobbs a montré comment choisir des serrures à la pointe de la technologie fabriquées par des fabricants qui affirmaient que le secret rendait leurs créations plus sûres. Les gens qui gagnent leur vie (pour ainsi dire) en choisissant des verrous réussissent très bien à choisir des serrures. Juste parce qu'ils n'en ont peut-être jamais vu auparavant ne le rend pas impénétrable.
Cela peut être vu dans les mises à jour de sécurité régulières qui arrivent sur Windows, macOS et autres systèmes d'exploitation propriétaires. Si garder le code privé était suffisant pour garder les failles cachées, elles n'auraient pas besoin d'être corrigées.
La sécurité par l'obscurité ne peut pas être la seule solution
Heureusement, cette approche n'est qu'une partie du plan défensif que ces entreprises adoptent. Google récompense les personnes qui découvrent des failles de sécurité dans Chrome, et ce n'est pas le seul géant technologique à utiliser cette tactique.
Les sociétés technologiques propriétaires dépensent des milliards pour rendre leur logiciel sûr. Ils ne comptent pas entièrement sur la fumée et les miroirs pour éloigner les méchants. Au lieu de cela, ils s'appuient sur le secret comme seule couche de défense, ce qui ralentit les attaquants en leur rendant plus difficile l'obtention d'informations sur le système qu'ils cherchent à infiltrer.
La chose est, parfois la menace ne vient pas de l'extérieur du système d'exploitation Microsoft soulage vos soucis de confidentialité Windows 10 Microsoft soulage vos préoccupations de confidentialité Windows 10 Avant la publication de la mise à jour des créateurs, Microsoft répond aux préoccupations de personnes concernant Windows 10. Mais cela suffira-t-il à apaiser les défenseurs de la vie privée? Lire la suite . La version de Windows 10 a montré à de nombreux utilisateurs qu'un comportement indésirable peut provenir du logiciel lui-même. Microsoft a intensifié ses efforts pour collecter des informations sur les utilisateurs de Windows afin de monétiser davantage son produit. Qu'est-ce qu'il fait avec ces données, nous ne savons pas. Nous ne pouvons pas regarder le code à voir. Et même lorsque Microsoft s'ouvre, il reste intentionnellement vague.
La sécurité Open Source est-elle meilleure?
Lorsque le code source est public, plus d'yeux sont disponibles pour repérer les vulnérabilités. S'il y a des bugs dans le code, la pensée va, alors quelqu'un les repèrera. Et ne pensez pas à glisser une porte dérobée dans votre logiciel. Quelqu'un remarquera, et ils vous appelleront.
Peu de gens s'attendent à ce que les utilisateurs finaux voient et comprennent le code source. C'est à faire pour d'autres développeurs et experts en sécurité. Nous pouvons dormir tranquille en sachant qu'ils font ce travail en notre nom.
Ou pouvons-nous? Nous pouvons établir un parallèle facile avec le gouvernement. Lorsque de nouvelles lois ou des décrets sont adoptés, il arrive que des journalistes et des professionnels du droit examinent le matériel. Parfois, cela passe sous le radar.
Des bugs tels que Heartbleed nous ont montré que la sécurité n'est pas garantie. Parfois, les bugs sont si obscurs qu'ils passent des décennies sans être détectés, même si le logiciel est utilisé par des millions de personnes (ce qui n'est pas le cas pour Windows). Il peut falloir un certain temps pour découvrir des bizarreries telles que frapper la touche Backspace 28 fois pour contourner l'écran de verrouillage. Et juste parce que beaucoup de gens peuvent regarder le code ne veut pas dire qu'ils le font. Encore une fois, comme on le voit parfois au gouvernement, le matériel public peut être ignoré simplement parce que c'est ennuyeux .
Pourquoi Linux est-il largement considéré comme un système d'exploitation sécurisé? Linux est-il vraiment aussi sécurisé que vous le pensez? Linux est-il vraiment aussi sécurisé que vous le pensez? Linux est souvent présenté comme le système d'exploitation le plus sécurisé sur lequel vous pouvez mettre la main, mais est-ce vraiment le cas? Jetons un coup d'oeil à différents aspects de la sécurité informatique Linux. Lire la suite ? Bien que cela soit en partie dû aux avantages du design de type Unix, Linux profite également du nombre de personnes investies dans son écosystème. Avec des organisations aussi variées et diverses que Google et IBM pour le département de la Défense des États-Unis et le gouvernement chinois Le gouvernement chinois a une nouvelle distribution Linux: est-ce bien? Le gouvernement chinois a une nouvelle distribution Linux: est-ce que c'est bon? Ubuntu Kylin est une version fortement personnalisée d'Ubuntu Linux, construite par le gouvernement chinois et destinée aux utilisateurs chinois. Contrairement à d'autres projets Linux basés sur le gouvernement, Ubuntu Kylin est plutôt bon! Lire la suite, de nombreuses parties ont investi dans la sécurisation du logiciel. Depuis que le code est ouvert, les utilisateurs peuvent apporter des améliorations et les soumettre à d'autres utilisateurs Linux. Ou ils peuvent garder ces améliorations pour eux-mêmes Open Source vs Free Software: Quelle est la différence et pourquoi est-ce important? Open Source vs Free Software: Quelle est la différence et pourquoi est-ce important? Beaucoup supposent que "open source" et "free software" signifient la même chose mais ce n'est pas vrai. Il est dans votre intérêt de connaître les différences. Lire la suite . En comparaison, Windows et macOS sont limités aux améliorations apportées directement par Microsoft et Apple.
De plus, alors que Windows peut être dominant sur les ordinateurs de bureau, Linux est largement utilisé sur les serveurs et d'autres éléments de matériel critiques. Beaucoup d'entreprises aiment avoir la possibilité de faire leurs propres corrections lorsque les enjeux sont aussi élevés. Et si vous êtes vraiment des systèmes d'exploitation Linux paranoïaque pour The Paranoid: Quelles sont les options les plus sécurisées? Les systèmes d'exploitation Linux pour le paranoïaque: quelles sont les options les plus sécurisées? Passer à Linux offre de nombreux avantages aux utilisateurs. D'un système plus stable à une vaste sélection de logiciels open source, vous êtes gagnant. Et ça ne vous coûtera pas un sou! Lire la suite ou besoin de garantir que personne ne surveille ce qui se passe sur votre PC, vous ne pouvez le faire que si vous pouvez vérifier ce que le code sur votre machine est en train de faire.
Quel modèle de sécurité préférez-vous?
Il existe un consensus général sur le fait que les algorithmes de chiffrement doivent être ouverts, tant que les clés sont privées. Comment le chiffrement fonctionne-t-il et est-il vraiment sûr? Comment fonctionne le chiffrement, et est-il vraiment sûr? Lire la suite . Mais il n'y a pas de consensus sur le fait que tous les logiciels seraient plus sûrs si le code était ouvert. Ce n'est peut-être même pas la bonne question à poser. D'autres facteurs ont une incidence sur la vulnérabilité de votre système, tels que la fréquence à laquelle les exploits sont détectés et la rapidité avec laquelle ils sont corrigés.
Néanmoins, la nature fermée de Windows ou de macOS vous laisse-t-elle mal à l'aise? Les utilisez-vous de toute façon? Considérez-vous cela comme un avantage, pas un détriment? Carillon dans!