[NEWS] « Sécurisé » ne veut pas dire « infaillible »

Le FUD (fear, uncertainty and doubt) est une pratique à double tranchant. Largement utilisé pour décridibiliser Linux (l'affaire SCO en est un exemple récent), elle change aujourd'hui de cible. Sun, par exemple, récupère habilement les problèmes liés au virus Lovsan pour promouvoir sa distribution Linux « Mad Hatter ». Mais est-ce là rendre service au Libre ?

Ce n'est pas sûr ! Car si les Linux et les logiciels libres bénéficient d'une bonne réputation en matière de sécurité, ils n'en sont pas pour autant infaillibles. Le modèle du bazar et le principe du « peer reviewing », s'ils permettent un regard critique sur l'analyse et l'implémentation, n'ont en effet pas pour vocation d'empêcher les erreurs ; plutôt d'en faciliter la détection et la correction !

Récemment, Datanews publiait des conclusions de Honeylux sur les actes de piratage. Notamment : « Les systèmes les plus attaqués : wu-ftp (logiciel mal écrit de la Washington University), IIS (serveur web de Microsoft, parce que "les gens oublient souvent d'appliquer les patches"), rpc.statd et samba ». Des logiciels propriétaires y côtoient des logiciels libres.

Pour illustrer cette faillibilité des logiciels libres, revenons sur deux événements récents et médiatisés : le piratage d'un serveur FTP du projet GNU et celui du serveur Web des journaux La Libre Belgique et la Dernière Heure. Le premier cas a duré six mois (!), de mars à août 2003, et a été permis par une exploitation de la faille ptrace de Linux. La seconde a conduit à la fermeture des sites pendant plusieurs jours et a été permise par l'exploitation d'une faille de sécurité du serveur Web Apache.

Deux événements récents et médiatisés, disions-nous. Il convient justement d'insister sur la dimension médiatique d'un acte de piratage ou de la découverte d'une faille. Cette dimension est fortement liée à la diffusion du système d'exploitation : une faille dans Windows concerne potentiellement plus de 9 utilisateurs de micro-ordinateur sur 10. Par ailleurs, selon la société Mi2g, spécialisée dans la gestion du risque, 43% des failles recensées par eux en 2002 proviennent de Windows, contre 17% à Linux. Mais, ajoutent-ils, Linux détient 1% de part de marché sur les postes de travail (NdR : D'autres statistiques parlent de 5% environ. Par ailleurs, il convient de tenir compte des installations de Linux comme serveur web ou de fichiers, davantage exposées aux tentatives de piratage.), contre 95% à Windows.

Il faut ajouter que les actes de piratage obéissent à des modes, de natures culturelle et commerciale. Culturellement, Microsoft, globalement détesté par les pirates, a longtemps été la proie favorite. Et sa diffusion en fait une cible « logique » pour les attaques. Mais, toujours selon Mi2g, Windows est progressivement délaissé au profit de Linux. Le ratio d'attaques vers des serveurs Windows par rapport aux serveurs Linux serait ainsi passé de 2 pou 1 en 2002, contre 3 pour 1 en 2001 ! Du premier semestre 2001 au premier semestre 2002, les attaques victorieuses contre Linux seraient passées de 5.736 à 7.360 (+28,3%), celles contre Windows passant de 11.828 à 9.404 (-25,7%). Les efforts de Microsoft en faveur de la sécurité pourraient être invoqués pour expliquer cette baisse des attaques vitorieuses contre Windows. Peut-être (l'amélioration de la qualité entre Win 9x et Win 2K est évidente), mais il est intéssant de constater que, alors que les attaques contre Linux augmentent, la diminution des attaques réussies contre Windows (soit 25,7%) correspond approximativement à l'augmentation des attaques réussies contre Linux (soit 28,3%).

L'intérêt de la proie est aussi lié à la compétence moyenne des administrateurs. Selon CommunauTech, le niveau de formation moyen des administrateurs Windows est généralement inférieur à celui d'un administrateur Unix/Linux. Mais le succès de Linux (et le manque reconnu de compétences pour ce système dans les entreprises) peut conduire à une diminution de la compétence moyenne des administrateurs Linux. Hors, quel que soit le système, un serveur se doit, à la base, d'être correctement configuré et, par la suite, régulièrement patché. Graham Cluley (Sophos) cité par Datanews, affirmait d'ailleurs récemment : « Il est si facile aux directeurs IT de se protéger : il faut simplement veiller à ce que tous les fichiers .pif soient bloqués par le pare-feu pour repousser définitivement Sobig. Il est affolant de constater que nombre d'entre eux ne prennent même pas la peine d'appliquer cette mesure élémentaire. »

L'impact d'un défaut d'administration n'est pas faible : Blaster/Lovsan lancé à la mi-août 2003, se basait sur une brèche dans l'interface Windows traitant les RPC (Remote Procedure Calls) pour laquelle un correctif avait été proposé par Microsoft à la mi-juillet ! Et lorsque l'on sait que, selon Sans.Org, le RPC est la première source de vulnérabilité des systèmes Unix, on se rend mieux compte personne n'est totalement à l'abri¹ ! Et que la formation et la compétence des administrateurs est plus que jamais un élément central dans la conduite d'une politique de sécurité.

Cet article ne doit néanmoins pas masquer la réalité :

• la course en avant de Microsoft visant à distancer la concurrence avec des produits peut-être à la pointe mais certainement mal dégrossis (cette politique semble aujourd'hui faire place à une autre, plus prudente, privilégiant la sécurité)

• l'absence de sécurité sur les systèmes Win9x ou les « opérations portes ouvertes » sur les systèmes NT ou 2000 (système ouvert par défaut)

• l'alléguation de Gartner, comme quoi Windows demande 15% de temps en plus que Linux pour être sécurisé

• le choix de serveurs de cache Akamaï basés sur un dérivé de Linux pour protéger le site de Microsoft (une sorte d'aveu d'impuissance)

• les failles à répétition sur des des produits comme Internet Information Server (IIS), Internet Explorer (MSIE) ou Outlook Express

• etc

Il vise par contre à souligner différentes choses :

• « Sécurisé » ne veut pas dire « infaillible ». Si Linux bénéficie d'une conception rigoureuse et d'une programmation de qualité (Cette qualité n'est pas que supposée, elle est reconnue. Reasoning a par exemple analysé le cas de Linux, en concluant que ce dernier était, pour l'implémentation de TCP/IP, supérieur aux systèmes d'exploitation propriétaires.), la qualité de l'administration n'en reste pas moins importante.

• Le nombre de failles doit être distingué du nombre d'attaques et de leur impact.

Le nombre de failles découvertes est lié à la qualité de la conception d'un système mais aussi à sa popularité auprès des pirates, partant du principe que « qui cherche, trouve ». Le nombre d'attaques est lié à la popularité (diffusion) du système et à la réputation de son éditeur. Quant à l'impact, il est tant qualitatif que quantitatif. Une attaque sur un système fortement diffusé aura tendance à avoir un impact à grande échelle, mais pas forcément en profondeur. Si en plus le système est mal conçu, la gravité de l'attaque risque par contre d'être grande. Les failles de Windows liées à sa paramétrisation par défaut parfois contestable ont pu conduire à des attaques d'une échelle et d'une gravité élevées.

Une façon de conclure cette réflexion pourrait être de raisonner en terme de risque (n'est-ce pas cela qui finalement intéresse le client ?). Quelle est le risque associé à la possesion d'un système ? Sachant qu'un risque est le produit de la fréquence et de la gravité d'un danger, voici ce que l'évaluation du risque de possession d'un système d'exploitation pourrait donner :

Bref, Linux ou Apache, pas plus que Windows ou IIS, ne sont infaillibles Manquer de nuance en la matière n'est pas rendre service au Libre. Car un tel comportement fait naître un faux espoir (celui d'un système infaillible) et ne prête pas à une nécessaire vigilance !

Sources : Anonyme, Sun opens early registration for secure desktop, Sun.Com, août 2003 / Descombe S., Linux moins fiable que Windows ?, Journal du Net, 5 novembre 2002 / Duffet B., Les différents marchés pour les systèmes d'exploitation, 2003 / Anonyme, Blaster/Lovsan attaque les systèmes Windows dans le monde entier, Datanews, 2003 / Anonyme, Microsoft lance trois avertissements critiques importants, Datanews, 22 août 2003 / Fabes O., Le site de la Libre et de la DH paralysés par un 'hacker', Datanews, 12 août 2003 / Anonyme, ftp.gnu.org, LinuxFr, 14 août 2003 / Anonyme, Faille de sécurité dans le noyau Linux, LinuxFr, 17 mars 2003 / Anonyme, SANS / FBI The twenty most critical Internet security vulnerabilities, Sans.Org, 29 août 2003 (consultation) / Kotadia M., Linux appelé en renfort pour protéger le site web de Microsft, ZDNet.fr, 28 août 2003 / Fabes O., Le Luxembourg a son 'pot de miel', Datanews, n°26, p10 / Delameilleure J., Gartner critique la monoculture Microsoft, VNUNet, 14 octobre 2003.

Posté le 27 novembre 2003.