1 Linux = 3 Windows
L'US-Cert a listé les incidents de l'année 2005 [1]. Et, surprise, il y en a moins pour Windows que pour Linux. Trois fois moins.
L'US-CERT a-t-il donc perçu ce que personne d'autre n'a vu ? Donc repartons des chiffres pour comprendre. 812 vulnérabilités chez Windows contre 2328 du côté d'Unix/Linux. On a bien le facteur 3. Mais j'ai quand même 5 remarques :
1) Les failles Windows sont celles annoncées par Microsoft. Certaines failles sont absentes de la liste.
2) On parle de Unix/Linux et non de Linux seul. Il y a donc les failles pour IBM AIX, HP-UX, SCO Unixware, et même Mac OS X qui est dérivé d'un Unix. Tenez, moi je vais compter les failles des OS libres par rapport à celles des OS propriétaires !
3) La liste comprend 8 failles pour Grip, un encodeur audio permettant de compresser en MP3. Ce logiciel a peu de chance de se retrouver en entreprise. De même on trouve 2 failles pour Frox, un proxy FTP, qui reste confidentiel par rapport à Squid. Ces failles restent certainement nettement moins importantes que les failles de Internet Explorer présent sur tous les postes de l'entreprise.
4) A l'inverse une troisième catégorie recense 2058 failles attribuées à de "multiples environnements". Or ces failles portent sur MySQL, Mozilla, PHP, qui eux intéressent un grand nombre de serveurs qui sont de plus à priori accessibles à tous par internet.
5) Les 8 failles de Grip ne sont en fait qu'une seule faille du logiciel mais avec plusieurs mises à jour pour différentes distributions : Fedora, Gentoo, RedHat, Mandrake, Gentoo, SUSE, Mandrake, Peachtree, FedoraLegacy, Conectiva. Là on voit clairement que tout comptage serait faussé. Et on retrouve cela pour Windows.
Au final il faut donc se garder de tirer des conclusions de cette simple liste récapitulative. Et d'ailleurs il serait bon que des études nous fournissent des statistiques vraiment intéressantes permettant d'appréhender les risques et le volume de travail demandé. Par exemple pour 2 plateformes fonctionnellement équivalentes, le nombre de failles non corrigées, le délai avant mise à disposition des correctifs, le temps de travail nécessaire au passage des patches.