Les logiciels libres et Open Source sont-ils plus sécurisés que les logiciels propriétaires?

Les logiciels libres et open source, sont-ils plus sécurisés que les logiciels propriétaires?

Ces dernières années, ont vu la multiplication d’annonces impliquant les logiciels libres et open sources, faisant état de failles de sécurité plus que critiques.

Parmi ces failles de sécurité les plus connues impliquant les logiciels libres et open sources, nous avons :

Les fanatiques du Libres et de l’Open Source, et leurs hérésies

Les fanatiques du Libres et de l’Open Source répètent à qui veut bien l’entendre ou non, que les logiciels libres et open source, sont plus sécurisés que les logiciels propriétaires.

Que les projets open source et libres, sont l’avenir, et garantissent en toute circonstance, une sécurité des plus élevées.

Des arguments boiteux

La raison souvent évoquée selon ces fanatiques est la suivante :
«Les codes sources de ces logiciels sont publiquement disponibles. Donc, tout le monde peut analyser, étudier, vérifier les codes sources de ces programmes, afin notamment, de trouver des portes dérobées, et autres failles de sécurités.»

Ces fanatiques s’emportent, lorsque nous leur disons que, dans les faits, rien ne prouve qu’il y a des personnes biens intentionnées, qui sont chargées de tout vérifier dans «leurs logiciels».
Cela est possible, certes, mais qui est en charge de ce travail? Avez-vous des noms de personnes? d’équipes désignées? d’organismes chargés de réaliser ce travail?
NON, rien de tout ça. Votre argument, fanatiques que vous êtes, c’est juste du vent. Et les derniers événements le prouvent.

Toujours selon ces fanatiques, comme le codeur de logiciels libre ou open source est plus consciencieux, le logiciel libre ou open source est déjà très sûr.
Mais d’où tiennent-ils cela dites moi? En comparant un nombre de lignes de codes asymétrique?
Quoi qu’il en soit, c’est vite oublier les énormités dont ils sont à l’origine, ces si talentueux développeurs.

Bien que personne n’a de preuve, que chaque ligne de code n’est véritablement vérifiée, et bien que la possibilité existe qu’une personne malveillante, ou qu’un gouvernement peu scrupuleux aille dans ces sources publiquement disponibles, à la recherche de codes exploitables, cela ne représente étrangement, guère une préoccupation dans leur esprit.

Encore et toujours selon ces fanatiques, les logiciels propriétaires sont généralement «closed source». Donc, seuls les personnes qui «travaillent ces sources», ont accès aux codes et peuvent corriger les failles et autres bugs critiques, etc.
Donc, le nombre limité de cerveau potentiel mis à contribution dans les logiciels propriétaires, par rapport aux logiciels open source et libres (nous le répétons, dont les sources sont publiquement accessibles), rendent d’après leur logique, les logiciels propriétaires moins sécurisés, moins bons, plus dangereux.

Pour finir, ces fanatiques répètent souvent que, dans un logiciel «closed source», les gouvernements peuvent facilement avec la complicité des éditeurs, incorporer des éléments dans le but d’espionner les utilisateurs de ces logiciels propriétaires.

La dure réalité

Pourtant, ces derniers mois, outre les annonces faites sur les énormités présentes dans ces logiciels libres et open source, nous avons appris par Edward Snowden, les agissement outranciers de la NSA. Et ce, même lorsque des logiciels libres et open source étaient utilisés.

Quoi qu’il en soit, la NSA, ne semble pas être une entité des plus fiables. Tiens donc, cette même NSA qui est à l’origine d’un des mécanisme de sécurité le plus utilisé sous Linux, à savoir SElinux. (comme pour SEAndroid, SEBSD, SEDarwin …).
Question : Qui a vérifié SElinux?

Bref, les faits parlent d’eux même:

  • Des trous béants vieux de plus de deux ans, voir de plus de 10 ans
  • La NSA responsable d’un des mécanismes de sécurité le plus utilisé dans le noyau Linux notamment.

Pouvons-nous raisonnablement penser, que ça n’est que la partie immergée de l’iceberg?
Et dire que certains de ces fanatiques tapent sur Microsoft quand une vulnérabilité met un mois à être comblée…. Il y a vraiment des gens de mauvaise foi.

Conclusion

Alors, sécurisés à quel point les logiciels libres et open source?

Publicités
Publié dans Sécurité informatique | Tagué , , , , , , , , , , , , , | Laisser un commentaire

Prochain article dédicassé aux fans inconditionnels de Linus Benedict Torvalds

Linus Benedict Torvalds acteur de l’informatique, inconnu du grand public

Notre prochain article concernera nous l’espérons, un acteur de l’informatique répondant au nom de Linus Benedict Torvalds, le créateur du noyau Linux.
Personnage assez peu connu.

Certains l’exècrent, d’autres (Ah les geeks du libre …) le vénéreraient presque.
Pour ma part, il n’est qu’un simple homme.

Je vais donc m’atteler à vous proposer mon humble explication quant à l’indifférence, le désintéressement, dont fait preuve le grand public à son égard, malgré l’impact que son travail a sur nos vies.

Quelques questions à vous poser en attendant :

Quel impact pensez-vous que Linux Torvalds a sur votre vie?

Sur le libre?

Je sens déjà que ça va faire du bruit chez les excités du libre. Tant mieux, ça ne fait que commencer ;)

Publié dans acteurs de l’informatique | Tagué , , , , , | Laisser un commentaire

« La route du futur », Bill Gates. En avance de 20 ans sur son temps.

"La route du futur", Bill Gates. En avance de 20 ans sur son temps..

Publié dans Uncategorized | 2 commentaires

Blog Linux, Unix, Windows

Nous parlerons ici, de système d’exploitation GNU/Linux, Unix, Windows, des acteurs principaux de l’informatique moderne.

Je donnerais mon humble avis sur certains points, qui selon moi, pourraient expliquer bien des résultats décevants, notamment en ce qui concerne les OS Bsd, GNU, GNU/Linux, Unix, Windows.

Nous parlerons aussi d’Apple, d’Android, de Google, et d’autres compagnies importantes.

Bien évidement, nous présenterons les personnages clés du secteur, tel que Bill Gates, Steve Jobs, Steve Wozniak, Linus Benedict Torvalds, Richard Stallman et d’autres encore.

J’ai aussi pour ambition, de faire taire certains clichés sur l’informatique libre et propriétaire.

Je ne me revendique pas geek ou fanboy.
Je serais plutôt une personne ordinaire qui donne son avis sur un domaine particulier, à savoir l’informatique.
Domaine dans lequel je pense connaître le minimum, afin de m’exprimer sur le sujet.

À raison j’espère.

Enfin, je donnerais aussi certaines astuces pour attirer sur votre blog des visiteurs. Pas des moindres, les trolls!
Bien utilisés, ils peuvent grâce à leur excitation (si on fait fi de leur bêtise), générer beaucoup de visites ;)

Publié dans Uncategorized | Laisser un commentaire

Freebsd, un système d’exploitation obsolète et dangereux?

Freebsd, un système d’exploitation obsolète et dangereux?

FreeBSD ou le Mythe du système d’exploitation par excellence.

FreeBSD, j’ai été pendant plusieurs périodes s’étalant sur trois années, un utilisateur de ce système d’exploitation, dit « de type Unix ».

Logo freebsd

FreeBSD un OS obsolète et dangereux

J’utilisais auparavant tout particulièrement la distribution GNU/Linux Debian.

C’est d’ailleurs cette distribution que j’utilise encore tous les jours. (J’aurais l’occasion j’espère d’expliquer cela, dans un futur article)
J’ai pourtant testé d’autres distributions, mais je reviens inlassablement sur Debian (SID).

Bref, avant de rentrer dans le vif du sujet, je souhaite répondre à une question que certains lecteurs se posent peut être :
Pourquoi avoir quitté GNU/Linux?

Tout n’est pas rose sur GNU/Linux :

  • Certains drivers sont foireux, voir manquants.
  • Certaines décisions prises par les mainteneurs d’une distribution sont plus que contestables.
  • Les fichiers de configuration sont dispersés.
  • Pour utiliser la dernière version des programmes, nous sommes souvent obligés d’utiliser une version d’une distribution instable. (Je dois admettre que sur Debian SID, c’est presque invisible.)
  • Il n’y a pas de vraie documentation complète, claire, adaptée et centralisée.
  • Il est très difficile d’apprendre rapidement quelque chose, à cause du manque de documents officiels centralisés. Il faut donc sans cesse chercher ça et là.
  • Les utilisateurs « lambda », sont souvent arrogants et rarement utiles pour résoudre des problèmes.

FreeBSD est vendu ainsi :

  • Les fichiers de configurations sont regroupés.
  • Le système et les programmes faisant parti d’un tout (contrairement au noyau Linux associé après coup à un environnement GNU), l’ensemble est d’une stabilité remarquable.
  • La documentation très riche est disponible sur le site officiel.
  • Très facile à prendre en main, notamment grâce à la documentation disponible.
  • Des gens humbles et bien élevés.
  • Le code composant le système est de meilleure qualité.
  • Les drivers et technologies employés sont de meilleur qualité.
  • Le support du matériel est conséquent.
  • Le nombre de ports est très important, et concourt avec le nombre de paquets chez GNU/Debian.
  • La sécurité est bien supérieure à « Linux ».
  • FreeBSD consomme moins de ressources matériel que « Linux ».

Avoué que vue sous cet angle, FreeBSD est très alléchant, non? FreeBSD paraîtrait ainsi se situer entre Windows et GNU/Linux.

FreeBSD était à cette époque, vendu sur les sites pros FreeBSD, comme l’OS ultime. Le digne successeur d’Unix. Le système d’exploitation qui devait supplanter Linux, car supérieur à tous les égards.
C’est encore ainsi qu’est présenté cet OS aujourd’hui, et à lire en détail sur le site et forum de FreeBSD, c’est encore plus flagrant.
Enfin, cerise sur le gateaux, FreeBSD est venté comme sûr, stable et utilisable en Desktop.

J’ai donc pendant une période, quitté GNU/Linux pour tester FreeBSD, afin d’avoir mieux que Debian.

Mais l’aventure n’a durée qu’un temps.

Pourtant, j’ai maintes fois réalisé des recherches sur le forums.freebsd.org et sur internet, afin de savoir si les choses avaient depuis évoluées.
Dans ce cas, je retournerais éventuellement sur FreeBSD.

Le constat est sans appel : nous sommes en 2013, malheureusement, les problèmes restent les mêmes, et me rappellent chaque fois, les points importants, qui m’ont fait quitter FreeBSD.

La réalité sur FreeBSD

Sans trop rentrer dans les détails, je suis arrivé à la version 6 de FreeBSD.
D’un point de vue « apprentissage » dirons nous, c’était assez plaisant.
Tout compiler, sélectionner point par point les aspects de son système, allant des services, à l’environnement de bureau, dans les plus petites options.

Premier constat déplaisant, le support matériel était très en retard par rapport au matériel en date. C’était comme revenir dans le passé par rapport à Linux. Je ne parle même pas par rapport à Windows …
Bref, pour une même configuration parfaitement utilisable avec Debian, je rencontrais les problèmes suivants avec FreeBSD (x86 ou amd64) :

  • Carte son non prise en charge.
  • Carte wifi non supportée.
  • Dongle usb wifi non supporté.
  • Drivers carte graphique Intel buggé.(provoquant de multiple crash de X)
  • Drivers carte réseaux très buggé. (congestion à répétition)

Malheureusement, ce n’était pas le seul problème, la compilation de ports commençait à me poser de gros soucis.

Qu’est-ce que la compilation de ports?

Les ports, ce sont des logiciels assez variées, disponibles en codes source. Ainsi, il faut non pas télécharger les logiciels prêt à l’emploi, mais uniquement les sources pour après compilation, obtenir un binaire du logiciel à installer.

Imaginer compiler tout un système, et des logiciels ça et là et ce, régulièrement, sur une machine composée d’un pentium 4 simple core, de 1 Go de mémoire vive, sur un disque dur tournant à 7200rpm.
Cela prenait un temps fou. (Nous reviendrons sur ce point plus bas).

Tout de suite, les écris présents sur les sites FreeBSD me paraissaient amèrement mensongers.
Je ne me suis pourtant pas arrêté à ça. J’ai voulu laissé sa chance à ce système.

Puis, vint la version 7

Ce fut la catastrophe.
J’avais des problèmes de drivers plus importants (usb; wifi; carte réseaux; carte graphique; carte son, non utilisables) qui m’empêchaient d’utiliser FreeBSD.
C’était arrivé au point où je devais utiliser lynx en mode console sans lancer le serveur X, pour avoir une connexion internet, sinon, la connexion internet s’interrompait de manière très aléatoire dans la demi-heure si j’avais de la chance, voir lorsque j’avais un peu plus de la chance, dans l’heure qui suivait.
Ce problème de connexion internet, lié étrangement au serveur X provenait de certains éléments du noyau codés en dur (architecture pour le moins étrange du noyau), et qui n’existaient pas en module (c’est d’ailleurs toujours le cas), je devais donc ce cas, nécessairement redémarrer la machine.

La cerise sur le gâteau, des freezes aléatoires me pourrissaient la vie.
Le système de fichiers UFS qui en soit est vraiment mauvais (UFS supporte très mal les crashs système), était malmené, à force d’arrêter « brutalement » la machine pour sortir des freezes.
Je me retrouvais alors, avec des données corrompues.

OptiPlex-SX280

Un pc OptiPlex-SX280 finalement plus lent avec FreeBSD que sous windows vista

Enfin, la fréquence de compilation des paquets, sur une machine, de surcroît peu puissante, apparaissait désormais, comme un gros problème, où la sécurité et la productivité étaient en jeu.

La compilation de ports? Un truc dangereux.

Nous voilà face au problèmes de la compilation des ports.
Les paquets sur FreeBSD sont presque tous périmés, et souffrent presque tous de failles de sécurité.
Nous sommes alors, si nous prenons au minimum l’aspect sécurité en compte, obligé de compiler les logiciels. (FreeBSD étant d’après ses développeurs, un système sûr, un système pour les utilisateurs concernés par la sécurité …)

Certains geeks à la logique hasardeuse, justifient cela ainsi :

  • FreeBSD est peu utilisé, donc peu attractif pour les pirates. Ce n’est donc pas grave.
  • FreeBSD c’est malgré tout très sûr. (sic)

Ces personnes semblent oublier que :

  • FreeBSD prétend être l’un des OS les plus sûr par sa conception et utilisation.
  • FreeBSD prétend être utilisable en Desktop.
  • Les failles multiplate-forme existent. Donc FreeBSD n’est nullement à l’abri.

Comme les binaires des logiciels sont périmés et vulnérables à des failles de sécurité, j’étais alors obligé de compiler des ports.

Cela me prenait jusqu’à 28 longues heures de compilation pour avoir mon système complet.
Le pire, c’est que presque à chaque fois, il fallait recompiler un des logiciels qui avait subit une mise à jour de sécurité ou de version le temps d’une compilation.
J’avais par exemple gnome ou xorg qui demandait à être compilé pour une mise à jour de sécurité, je devais alors cesser d’utiliser mon ordinateur pendant plusieurs heures.

J’étais donc constamment obligé d’arrêter d’utiliser les logiciels vulnérables, sinon, je prenais le risque à utiliser une version dangereuse, de compromettre mon système.
Les navigateurs web comme (liste non exhaustive) Firefox, ou les éditeurs de texte comme Openoffice ou LateX, demandaient très souvent à être recompilé.

La perte de temps était énorme, puisque pendant ce temps, le système n’était pas utilisable (trop lent, incomplet, instable), ce qui résultait donc à une perte énorme de productivité.

Donc pour garder un système sûr, je ne pouvais presque jamais utiliser mon ordinateur.
Ne pas agir de cette manière aurait été le comble, pour une personne qui utilise un système d’exploitation parce qu’il se dit être parmi les plus sécurisé.

Enfin, des mises à jours de programmes (pour mes activités notamment professionnelles), m’incitaient là encore à mettre à jour, donc à compiler des ports.
Je devais donc compiler un programme, mais en même temps, une dépendance demandait elle même à être compilée, et ainsi de suite.

Je ne passais alors plus mon temps à travailler sur mon pc, mais à me prendre la tête à lire les avertissements avant de compiler, à gérer les erreurs, et à attendre que mon pc redevienne des heures plus tard, disponible.

À quoi servent alors les paquets?

C’est rapide, ils sont quasiment tous périmés, et vulnérables à des failles de sécurités plus ou moins graves.
Chez FreeBSD, à l’heure où j’écris ces lignes, il n’y a toujours pas de dépôt de paquets à jour.
En attendant l’hypothétique dépôt pour PKGNG (le nouveau gestionnaire de paquet, car l’actuel pkg_add ne gère pas les dépendances…), qui n’est pour l’heure, toujours pas annoncé avec un dépôt de logiciels à jours …

Certains seraient alors tentés d’objecter :
« Oui mais, avant que les paquets mis à jour pour une faille de sécurité ne soient disponibles dans les dépôts de Debian, ils le sont en codes source. Donc nous avons le temps de les compiler avant qu’ils ne soient disponibles dans une distribution en tant que paquet. »

Là encore, c’est un faux argument, puisque, lorsque je prends connaissance d’une mise à jour de sécurité, généralement :

  • Avec des paquets, à cette étape, je mets à jour directement, et je n’attends pas le temps d’une compilation, qui peut aller jusqu’à plus de 10 heures et plus pour un seul programme.
  • Il est très souvent question de mise à jour incluant les dépendances
  • Il est très souvent question de mise à jour de multiple logiciels, totalement différents. (libreoffice, flash et firefox, etc)
  • Les mainteneurs des paquets d’une distribution sont déjà au courant.
  • Les paquets sont très vites compilés par les mainteneurs des paquets d’une distribution sur des machines extrêmement puissantes, donc compilés plus vite que sur ma machine.
  • Je gagne du temps à faire confiance aux mainteneurs, car je n’ai pas à aller ça et là vérifier s’il y a des mises à jour.
  • Je n’ai pas de temps à consacrer à faire la tournée de tous les projets pour savoir s’il y a une mise à jour de sécurité.
  • Comme je me rends compte généralement tardivement d’une mise à jour, je perdrais encore du temps à compiler (dès le moment où j’ai connaissance de la mise à jour).
  • Je gagne du temps à ne pas appliquer d’éventuels patchs après coup.
  • Je gagne du temps à ne pas gérer les erreurs de compilation.

À moins d’être un étriqué, il n’y a aucun argument logique et sensé, pour défendre cette manière de procéder avec les ports. (sauf très rare cas)

FreeBSD après la version 7?

Puis, je suis passé à la version 8, pire que la 7. Et j’ai finalement abandonné FreeBSD.

Aujourd’hui? C’est toujours la même galère avec FreeBSD.

Je devrais toujours attendre le temps d’une compilation, que mon pc redevienne disponible, ce qui se traduit par une perte colossale en terme de productivité.

Sur une machine trop faible, la durée d’immobilisation du pc peut aisément dépasser les 24 heures. Sinon, on peut toujours utiliser au grand risque de compromettre la sécurité de sa machine, des paquets dangereux.
La situation avec une machine puissante, reste similaire, même si le temps d’immobilisation sera moindre. (avec libreoffice, la compilation prendra tout de même plus de 5 heures)

Pourtant, avec un dépôt vraiment à jour, la perte de temps est moindre. Dès que le risque est déclaré, je mets sans attendre la fin d’une série de compilation de paquets, à jour mon système. (Une fois conscient des failles, je n’aurais pas à attendre la compilation, puis d’installer les logiciels, mais d’installer tout simplement dès qu’ils sont disponibles.)

L’abandon de FreeBSD

J’ai donc abandonné FreeBSD qui n’est en réalité, pas un système sécurisé, ou alors un système inutilisable tous les jours.
Pourquoi? Parce que chez FreeBSD, (les autres BSD ne sont malheureusement pas mieux), ils ne sont toujours pas capables en 2013 de fournir un dépôt avec des paquets vraiment à jour. Les binaires sont généralement tous obsolètes, et tous vulnérables à des attaques dangereuses.
Huit années plus tard, FreeBSD, ça n’a toujours pas changé.

J’ai parlé autour de moi de ce problème de compilation, et les réponses sont unanimes (hors fanboy bsd geek et trolls) c’est très « archaïque » qu’il n’y ait toujours pas de gestionnaire de paquets solide, et de dépôt vraiment à jour, permettant de se passer de la compilation de ports …

Un système d’exploitation obsolète et dangereux.

Enfin, autres problèmes :

  • Pas de support trim sur des volumes chiffrés. (les demandes à ce sujets sont généralement mal reçues, la réponse généralement formulée c’est : « Mais pourquoi vouloir ça? Mais pourquoi vouloir chiffrer son disque dur ou ssd… »)
  • Support du matériel à la ramasse.
  • Noyau, peut être plus épuré niveau code, par rapport à Linux, (normal me direz-vous, vu la pauvreté du noyau FreeBSD) mais salement monolithique (« dépendance douteuse notamment de l’usb »).
  • Près de 20% des ports ne sont pas maintenus.
  • Zfs pas toujours utilisable à l’installation.

Est-ce ça un système utilisable en Desktop par tous?
NON! Pour résumer, chez FreeBSD, c’est du pipeau!

Le nombre de ports pris en charge est faux.
Ça n’est pas mieux que GNU/Linux, et leur noyau n’est pas du niveau de Linux.
Le support du matériel craint, ils vont jusqu’à piocher chez linux. Dernièrement ils ont pris KMS chez Linux, ce qui n’est pas mauvais en soit, mais chez les BSD, ils se plaignent souvent de se faire voler par « Linux ». C’est je trouve, assez étrange comme comportement …

Linux est déjà à la traîne sur certains points? Avec FreeBSD c’est pire.

Conclusion écologique

À l’heure où les ordinateurs portables supplantent les pc de bureau, que ce soit au travail ou à la maison, il est évident que FreeBSD n’a avec sa compilation de ports, aucun avenir. (sauf peut être équipé des machines type Playstation, ça reste sans avenir)

En utilisation serveur? Le problème reste le même. Il faut couper la machine du net. (c’est même évoqué sur le forum freebsd.org)

Alors que l’écologie est toujours plus présente dans nos préoccupations, FreeBSD contribue à un gaspillage de ressources.(chacun compile dans son coin, résultant à un travail dupliqué inutilement).
Ce qui consomme de l’électricité, coûte de l’argent, produit de la chaleur, dégage des gaz nocifs issues entre autres des circuits imprimés (certes peu, mais ça y contribue, et tout écologiste digne de ce nom, ne néglige rien ;) ), pollue, alors qu’un ou plusieurs serveurs (qui de surcroît, sont toujours plus écologiques de par leur conception), dédiés à la construction des paquets, et à leur mise à disposition des usagers, est plus économique, et respectueux de la nature.

Bref FreeBSD ça craint de tous les points de vue : la gestion des paquets craint, la gestion des priorités craint, leur philosophie craint.

FreeBSD, est un système d’exploitation obsolète et dangereux.

freebsd danger représenté par un soleil

FreeBSD, c’est dangereux.

FreeBSD Danger

Publié dans bsd | 7 commentaires