Accueil > Le blog du libre > Mea Culpa

Mea Culpa

Publié le 12 octobre 2006 par mverdier
dans

Je parlais récemment des failles de Vista. Un lecteur m'a appelé à moins de parti pris en m'indiquant, à juste titre, que les logiciels libres ont eux aussi leurs problèmes de sécurité. Alors les logiciels libres ont-ils vraiment un avantage sur le terrain de la sécurité ?

Et justement Symantec pointe la recrudescence des failles dans les navigateurs, Firefox, Internet Explorer, Safari et Opera, et affirme que "il n'y a pas de navigateur Web sûr" [1]. Même si Firefox a le plus grand nombre de failles, Symantec indique qu'il est le plus rapide à les corriger, 24h en moyenne. Et du côté des suites bureautique ce n'est pas mieux. La revue MISC analyse dans son numéro 27 les risques d'infections virales de OpenOffice. Sa conclusion est que OpenOffice contient des "faiblesses conceptuelles assez graves". MISC souligne également la bonne réactivité de la communauté de développeurs.

Serait-ce cette réactivité qui donnerait un avantage aux logiciels libres ? Il est sûr que des correctifs rapides permettent de réduire les risques. Encore faut-il les appliquer. Pour moi il s'agit là du véritable avantage des logiciels libres. Régulièrement les correctifs Microsoft posent des problèmes. Du coup de nombreuses entreprises retardent leur déploiement ou même ne les installent pas.

A l'inverse les logiciels libres, et tout particulièrement Debian, offrent un niveau de qualité assez stable. En huit années de correctifs, je n'en ai vu qu'un seul ayant posé problème. Et sa correction a été diffusée dans la journée. OpenSSL, qui n'avait pas eu de problèmes depuis octobre 2005, vient de corriger plusieurs failles avec la diffusion de 3 correctifs au cours du mois de septembre. J'ai pu effectuer les mises à jour sans soucis. Ayant dû me battre avec l'installation d'un SP2 sur XP, je mesure bien l'avantage des logiciels libres.

Certes l'utilisation de logiciels libres ne me donne pas la certitude d'être exempt de faille de sécurité. Mais au moins je suis sûr que les failles connues sont corrigées, rapidement et avec un coût en temps passé très faible. La cerise sur le gateau, c'est bien sûr la transparence. Vous pouvez ainsi vérifier le suivi de OpenSSL avec son tableau de bord [2], outil assez technique voire hermétique, mais listant de manière compréhensible les bugs (bugs et non pas failles de sécurité) non corrigés. On est bien loin de la hotline incompétente réclamant les versions de tous les logiciels mais ne sachant proposer qu'un reboot de la machine. Oui je sais j'exagère... Si peu...

[1] http://www.lemondeinformatique.fr/actualites/...
[2] http://qa.debian.org/developer.php...