Accueil > Le blog du libre > Une faille dans imlib menace la sécurité de Linux

Une faille dans imlib menace la sécurité de Linux

Publié le 7 janvier 2005 par mverdier
dans

Un utilisateur de logiciels Microsoft, qui s'intéresse néanmoins aux logiciels libres, a attiré mon attention sur une faille de sécurité dans une librairie graphique (imlib) de Linux.

Tous les systèmes ont de telles failles, Linux comme les autres. On sait qui répare les failles de Internet Explorer, mais pour les logiciels libres, on peut se demander qui fait quoi. Aussi plutôt que de vous décortiquer les aspects techniques de cette faille, je voudrais vous parler du circuit de découverte de ces fameuses failles de sécurité.

Tout d'abord la découverte des failles. Elles peuvent être découvertes par de simples utilisateurs. A côté de cela de plus en plus de sociétés effectuent des audits de sécurité. Pour les logiciels libres, les sources étant disponibles, des volontaires les étudient, pour leurs études ou pour le plaisir (si si il y en a !). De ce fait il est clair que les failles sont plus facilement découvertes pour les logiciels libres que pour les autres logiciels. Il n'est donc pas surprenant que le nombre de failles soit parfois plus élevé sur certains logiciels libres que sur leurs homologues commerciaux.

Ensuite vient l'annonce de la faille. En général les failles découvertes sont transmises aux auteurs avant toute diffusion publique. Les auteurs peuvent d'ailleurs demander un délai avant toute autre publication afin de mettre au point le correctif. Les logiciels libres fonctionnent ici comme les autres logiciels. Leurs annonces se retrouvent avec celles des autres logiciels sur les listes de diffusion telles que Bugtraq.

En même temps que l'annonce publique, ou après un certain délai, un correctif est donc fourni pour les utilisateurs. Pour les logiciels libres, l'équipe de développement jour le rôle de l'éditeur en préparant ce correctif. Certains logiciels libres ont une équipe très active et les failles sont alors corrigées dans un délai de quelques heures (après l'annonce initiale privée). D'autres sont nettement moins rapides.

Enfin, le correctif est disponible, il faut donc procéder à une mise à jour. Cette mise à jour est du ressort d'outils fournis par la distribution utilisée plutôt que du logiciel lui-même. Toutes les distributions de Linux fournissent un moyen plus ou moins simple. Mais Debian fait la différence sur ce point. Debian permet en effet d'automatiser selon les besoins tout ou partie des mises à jour. Et ceci de manière extrêmement sécurisée. Vous pouvez facilement mettre à jour plusieurs centaines de machines en quelques minutes. Vous doutez de mon objectivité ? Et bien pas RedHat : cette distribution a adopté l'outil de mise à jour de Debian (apt) en remplacement de son propre outil.

Dans tout cela où sont les avantages des logiciels libres ? Tout d'abord, l'ouverture des sources facilitant la découverte des failles, les logiciels libres ont tendance à avoir une programmation plus propre et plus fiable. Ensuite des outils comme apt de Debian fournissent une grande facilité de mise à jour.

Mais tout cela ne sert à rien si les logiciels ne sont pas suffisamment fiables à l'origine. Or les logiciels libres ont ceci de particulier qu'ils évoluent dans de nombreuses directions. Si l'on prend le cas de Firefox (le remplaçant de Internet Explorer), on peut voir qu'il arrive après de très nombreux navigateurs : les bien connus mosaic, netscape, opera et mozilla, mais aussi lynx, amaya, galeon, konqueror... Chacun a apporté des améliorations aux précédents. La réutilisation possible des sources et la sélection qualitative (et non économique) ont permis une évolution rapide. Cet exemple montre bien que le niveau global de qualité et de sécurité tend à être plus élevé pour les logiciels libres.