Actualités récentes / Nouvelles de 2004 / Actualités -- Déclaration commune sur la sécurité de GNU/Linux

Déclaration commune sur la sécurité de GNU/Linux

4 avril 2004

Résumé

Les concepteurs de GNU/Linux Debian, Mandrake, Red Hat et SuSE se sont rejoints pour faire une déclaration commune sur le rapport Forrester intitulé « Linux est-il plus sûr que Windows ? » Bien que ce rapport prétende incorporer une évaluation qualitative des réactions des concepteurs aux vulnérabilités sérieuses, il traite de la même façon toutes les vulnérabilités, quelque soit leur risque pour les utilisateurs. En conséquence, les conclusions tirées par Forrester ont une valeur réelle extrêmement limitée pour des clients qui fondent leur opinion sur la question pratique de savoir si les vulnérabilités sérieuses sont corrigées rapidement.

Déclaration complète

Les équipes de sécurité des distributions GNU/LINUX Debian, Mandrakesoft, Red Hat et SUSE ont assisté Forrester pour rassembler et corriger les données sur les vulnérabilités de leurs produits. Les données rassemblées ont été utilisées par Forrester pour un rapport qui a été intitulé « Linux est-il plus sûr que Windows ? » Bien que les données sur les vulnérabilités concernant GNU/Linux qui sont à la base de ce rapport sont considérées comme étant suffisamment précises et utiles, Debian, Mandrakesoft, Red Hat et SuSE, désormais appelés « nous » dans la suite de cette déclaration, sont inquiets au sujet de la justesse et des conclusions faites dans ce rapport.

Nous croyons qu'il est dans l'intérêt de nos utilisateurs et de la communauté du logiciel libre de répondre au rapport Forrester par une déclaration commune :

Nous avons été contactés par Forrester en février 2004 pour les aider à affiner leurs données brutes. Forrester a rassemblé des données sur les vulnérabilités qui ont affecté GNU/Linux pendant la période d'une année (de juin 2002 à juin 2003) et a recherché combien de jours avaient été nécessaires pour fournir des correctifs à nos utilisateurs. Des efforts significatifs ont été fait non seulement pour s'assurer que l'ensemble des données sous-jacentes sur les vulnérabilités était correct, mais aussi pour exprimer clairement les soins techniques et d'organisation particuliers pris dans les processus de réaction du domaine de la sécurité du logiciel libre professionnel. Cette expertise est très appréciée par nos utilisateurs car elle ajoute beaucoup de valeur à nos produits, mais nous constatons de la plupart de cette valeur a été ignorée dans la méthode utilisée pour les analyses des données de vulnérabilité, conduisant à des conclusions erronées.

Nos équipes de sécurité et des organisations spécialisées en sécurité de réputation respectable (comme le CERT/DHS, BSI, NIST, NISCC) échangent des informations sur les vulnérabilités et coopèrent sur les mesures et les procédures à prendre en réaction. Chaque vulnérabilité est étudiée et évaluée individuellement ; la sévérité de la vulnérabilité est alors déterminée par chacune des équipes en fonction du risque et de l'impact, ainsi que d'autres critères principalement techniques, du point faible et du logiciel affecté. Cette sévérité est alors utilisée pour déterminer la priorité avec laquelle un correctif pour la vulnérabilité doit être apporté en fonction des autres vulnérabilités en cours de traitement. Nos utilisateurs savent que pour des défauts critiques nous pouvons répondre en quelques heures. Ce choix de priorités signifie que des questions de sévérité moindre seront souvent retardées afin de résoudre d'abord les problèmes plus importants.

Bien que le rapport Forrester le prétende, il ne fait pas cette distinction lorsqu'il mesure le temps écoulé entre la divulgation au public d'un défaut de sécurité et la disponibilité d'un correctif. Pour chaque concepteur le rapport ne fournit qu'une simple moyenne, le « nombre de jour de risque total par distribution », qui fournit une image peu convaincante de la réalité que vivent les utilisateurs. Cette moyenne traite de manière égale et de façon erronée toutes les vulnérabilités quelque soit le risque qu'elles posent. Toutes les vulnérabilité n'ont pas un même impact sur tous les utilisateurs. Un essai a été mené pour attribuer une sévérité aux vulnérabilités qui utilisent des données à partir de tiers, cependant la classification de vulnérabilités « très sévères » n'est pas suffisante : la simple annonce d'une vulnérabilité par une organisation de sécurité particulière ne rend pas nécessairement cette vulnérabilité sévère — de la même façon, la possibilité d'exploiter un point faible à travers le réseau (à distance) est souvent sans rapport avec la sévérité de vulnérabilité.

Nous croyons que le rapport ne traite pas les concepteurs de logiciels libres et celui à source fermé de la même façon. Le logiciel libre est connu pour sa diversité et sa liberté de choix parmi les standards qu'il définit. Plusieurs implantations de ces standards sont généralement proposées à la fois pour des utilisations en bureautique comme pour des serveurs ce qui donne aux utilisateurs la liberté de sélectionner les logiciels en fonction de leurs propres critères plutôt que selon ceux du concepteur. L'ouverture, la transparence et la traçabilité du code source est une valeur ajoutée en plus de la plus grande diversité de paquets logiciels disponibles. Enfin, prétendre qu'un concepteur de logiciels a corrigé la totalité de ses défauts pendant la période de l'étude devrait inciter à de plus amples investigations des conclusions présentées par le rapport.

Signé,
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE

Information complémentaire

Javier Fernández-Sanguino Peña a mené une enquête en 2001 et a découvert que l'équipe de sécurité de Debian a mis en moyenne 35 jours pour corriger les vulnérabilité postées sur la liste Bugtraq. Quoi qu'il en soit, plus de 50 % des vulnérabilités sont corrigées dans un délai de 10 jours, et plus de 15 % d'entre elles sont corrigées le jours même de la publication de leur annonce ! Pour cette analyse, toutes les vulnérabilités étaient traitées de la même façon cependant.

Il a reconduit cette enquête avec les vulnérabilités découvertes entre le 1^er juin 2002 et le 31 mai 2003 et a trouvé que la valeur médiane du délai entre la découverte et la publication d'une annonce comprenant un correctif était de 13,5 jours (la moyenne est de 31,1 jours). Pour cette analyse les annonces n'étaient pas non plus classées en différentes priorités.