La diversité du monde linux : force ou faiblesse ?

Lisant un article de l’excellent Cyrille Borne, un paragraphe m’a sauté aux yeux. Je cite :

« Je garde ma réserve car notre Linux prétendument indestructible s’il devenait du jour au lendemain la cible de tous les bandits du monde et bien peut être qu’il se ferait méchamment « marrave ». Finalement cette situation des 1% me convient bien, j’ai quelque part l’impression d’avoir trouvé un restaurant parisien à 7 € face à la tour Eiffel où l’on mange très bien, une espèce de secret que nous partagerions entre gens de bon goût. Si du jour au lendemain on devenait trop nombreux je suis persuadé qu’on y mangerait plus mal et qu’il y aurait des gens qui gâcheraient l’ambiance, on voit déjà un peu ce phénomène quand on sait ce qu’Ubuntu a apporté à l’univers Linux, pas que de la facilité c’est bien sûr. »

Je pense que la « tranquillité » de linux est surtout basée sur une chose : sa diversité.

Je m’explique. Déjà, contrairement au monde windows, il y a une foultitude de distribution. La bible Distrowatch en compte plusieurs dizaines (pour ne pas dire plusieurs centaines). Si en crois la dernière gazette en date :

* Number of all distributions in the database: 645
* Number of all active distributions in the database: 306
* Number of dormant distributions: 49
* Number of discontinued distributions: 290
* Number of distributions on the waiting list: 197

Traduit rapidement : 645 distributions recensées, 306 actives (dont une soixantaine plus ou moins dérivées de la distribution reine actuelle, j’ai nommé Ubuntu), 49 en hibernation, 290 abandonnées, 197 attendant d’être recensées.

Et si on simplifie à l’extrême, le trait, il y a en gros 3 familles :

  • Celles basées sur du .deb
  • Celles basées sur du .rpm
  • Les autres qui regroupent aussi bien les paquets sources compilés (tar.gz, tar.xz, etc…) que des formats exotiques comme le Conary de rPath.

Donc, si une personne malintentionnée veut toujours un maximum de personnes, il faudrait que son logiciel « malin » soit disponible au moins dans 2 formats, voire plus. Il y a bien le projet autopackage, mais c’est pas franchement la joie.

Ensuite, comme 99,9% des distributions utilisent des dépots, il faudrait infecter les dits dépots, et donc contourner une série de sommes de vérifications plus ou moins puissantes (md5, sha).

Et si je me souviens, un seul cas a été recensé : celui de RedHat courant août 2008?

Il est vrai qu’il est assez ennuyeux pour un programmeur de devoir faire un paquet rpm, un paquet deb, etc… pour son logiciel. Mais cela permet d’avoir une sécurité et d’éviter qu’un sal…petit malin ne corrompe toutes les distributions.

Le vrai danger, c’est le manque de formation des utilisateurs qui utilisent root pour l’utilisation courante, mais cela est du à la conception de Windows qui jusqu’à récemment (en gros jusqu’à Vista) n’était utilisable qu’avec des droits complets sur l’ensemble de la machine.

Je ne prétends pas qu’avec la montée en puissance du logiciel libre au niveau OS de bureau la situation va devenir plus dangeureuse, mais les risques sont limités.

Avis personnel, que je partage 😉

17 pensées sur “La diversité du monde linux : force ou faiblesse ?”

  1. Bonsoir.
    La diversité est une faiblesse en ce sens que le nouvel arrivant sous GNU/Linux est totalement perdu entre tous ces posssibles et souvent se décourage… mais c’est une richesse en ce sens que chacun est libre de choisir en fonction de ses goûts et de ses besoins, éventuellement de participer, sécurité en plus. 🙂

    Cordialement.

  2. La diversité est une richesse. Émulation, sélection naturelle…
    tout ne restera pas, uniquement le bon.
    L’uniformité engendre la sclérose, l’adaptation à la médiocrité.
    Ceux qui refusent l’innovation ne méritent que ce qu’ils trouvent sans effort.

  3. En tous cas, ça trolle sévère sur les forums ubuntu (j’y vais de moins en moins, l’ambiance devient kikoolol).

    De plus en plus de gens sont persuadés qu’il faut avoir un antivirus sur Linux, et d’ailleurs l’offre commence à arriver (dernier en date, Nod32 je crois).

    Perso je pense comme toi: nul besoin d’un antivirus. Déjà il n’y a pas de virus, ensuite si on utilise exclusivement les dépôts et qu’on met à jour son système, aucun risque.

  4. J’ai moi-même clamav sur mon ArchLinux n’ont pas parce que j’ai peur des virus mais parce que cela permet de ne pas refiler un fichier vérolé à un windowsien même si ce fichier est sans danger pour moi.

  5. Et s’il n’y avait pas que GNU/Linux dans le monde libre ?

    La securisation de GNU/Linux n’est pas plus due a sa « diversite » qu’a sa faible utilisation. Parce que bon, du serveur sous debian en entreprise, c’est pas vraiment tres rare, et la difference entre une debian et une debian … bah c’est rien.

    Non, la securite apportee par ce systeme est la meme (ou presque) que celle apportee par l’ensemble des systemes librement distribuables et modifiables: le nombre d’yeux.

    En effet, quand sur une OpenBSD on met 15 minutes a patcher un rootage local, voire une semaine chez FreeBSD (parce « qu’on aime prendre notre temps », vous comprennez) ou Linux pour le meme soucis, alors que chez Microsoft le remote de smb n’est toujours pas colmate, on se dit que quand meme, avoir des centaines/milliers de gars pour auditer le code, ca depote pas trop mal.

    Donc s’il vous plait, arretez avec votre vision linux-centriste, elle est vraiment exasperante pour ceux qui, eux, aiment reellement les systemes d’exploitations: les techniciens.

    Que le libre reponde a votre ideologie, tres bien pour vous, je vous encourage, ca repond a la mienne aussi, mais ne vous comportez pas comme les kiddies de windowsiens: ne bouffez pas tout cru ce que cannonical, debian et consort vous servent, apprenez a faire avec le reste, ayez l’esprit critique.

    La diversite des systemes de packages n’est pas un argument valable, si un source est pourri a la base, qu’il soit en tgz, rpm ou deb ne change rien.

    1. L’article parlait de linux, comme représentant le « plus connu » du monde libre. Je n’ignore pas l’existence des BSDs libres (j’en ai parlé à plusieurs reprises sur mon blog), ayant une légère préférence pour OpenBSD.

      « La securisation de GNU/Linux n’est pas plus due a sa « diversite » qu’a sa faible utilisation. Parce que bon, du serveur sous debian en entreprise, c’est pas vraiment tres rare, et la difference entre une debian et une debian … bah c’est rien. »

      Un bon administrateur ?

      « Donc s’il vous plait, arretez avec votre vision linux-centriste, elle est vraiment exasperante pour ceux qui, eux, aiment reellement les systemes d’exploitations: les techniciens. »

      Donc, en dehors des techniciens, personne ne devrait utiliser des unix libres ? Belle vision de l’informatique !

      « Que le libre reponde a votre ideologie, tres bien pour vous, je vous encourage, ca repond a la mienne aussi, mais ne vous comportez pas comme les kiddies de windowsiens: ne bouffez pas tout cru ce que cannonical, debian et consort vous servent, apprenez a faire avec le reste, ayez l’esprit critique. »

      Je vais donc vous répondre avec mon CV linuxien : j’ai eu sous la souris de la mandrake, de la fedora, de la ubuntu (de la dapper à la jaunty), et maintenant j’ai de l’archlinux. Je pense avoir le droit de critiquer Ubuntu et sa politique que je considère comme être contre productive.

      Que cela vous déplaise, tant pis. J’ai toujours tendance à modérer mes propos, et je dois dire qu’ici, je le fais franchement.

      « La diversite des systemes de packages n’est pas un argument valable, si un source est pourri a la base, qu’il soit en tgz, rpm ou deb ne change rien. »

      Les logiciels libres qui sont de mauvaises qualités ne vivent pas longtemps.

  6. Il existe bel et bien des virus sous Linux (voir la dernière affaire sur gnome-look.org entre autres), mais le système étant peu utilisé sur le desktop, il n’intéresse tout simplement pas les concepteurs de virus.

    Si Linux devient populaire, le risque d’attaque virale ira grandissante.

    Deuxièmement, ce n’est pas la connexion en root le seul problème sur une machine personnelle. Vous pouvez très bien vous connecter en utilisateur standard, choper un virus, et perdre vos données. Votre système ne sera pas gravement atteint, mais il rest que le plus important est perdu (pour un système personnel).

    Troisièmement, Windows NT gère parfaitement depuis ses origines les droits utilisateurs (avec les ACL), et même techniquement de manière plus fine que les système Unix (mais pas forcément de manière plus efficace). Il est vrai cependant que les premières versions « personnelles » de NT (2000 et XP donc), ne favorisaient pas la prise en compte de la gestion des droits.

    Plus grave : jusquà XP, afin de conserver une compatibilité logicielle avec l’ancienne famille 9x, Microsoft permettait aux éditeurs de logiciels d’outrepasser le système de restrictions de droit. Ce qui cassait en partie la sécurité du système.

    Le problème fut réglé intelligemment, il faut l’avouer, dès Vista avec la création d’un système de dossier virtuel : si je suis un simple utilisateur et que j’utilise un logiciel qui ne gère pas le système de restrictions de droit et qui veut absolument écrire dans, disons, Program Files, tel ou tel fichier. Windows écrira ces fichiers dans le dossier VirtualStore et fera croire au logiciel qu’ils sont bien dans Program Files.

    Problème : certains logiciels n’appécient pas trop ce système.

    M’enfin, c’est un mal pour un bien 😉

    1. « il n’intéresse tout simplement pas les concepteurs de virus. » Argument un peu facile. Mais je n’ai pas envie de le démonter aujourd’hui.

      « Si Linux devient populaire, le risque d’attaque virale ira grandissante. »

      Que disait-on avant l’explosion de la popularité de MacOS-X ? La même chose, et les faits ont prouvés que – jusqu’à présent – c’est de l’intox.

      « Troisièmement, Windows NT gère parfaitement depuis ses origines les droits utilisateurs (avec les ACL), et même techniquement de manière plus fine que les système Unix (mais pas forcément de manière plus efficace). Il est vrai cependant que les premières versions « personnelles » de NT (2000 et XP donc), ne favorisaient pas la prise en compte de la gestion des droits. »

      J’avoue que pour une machine personne, l’utilité des ACL m’échappe. Sinon, il est vrai que la création d’un compte utilisateur avec droits administrateur par défaut est une hérésie.

      Windows Vista est mal conçu sur certain plans, comme la mauvaise copie de sudo qui s’appelle l’UAC. Cela a tellement ennuyé les utilisateurs habitués à avoir tous les droits – et les codeurs paresseux – que la solution apporté dans Windows 7 fait penser à un retour à XP sur certains plans. Autant dire qu’il va y avoir de la casse…

  7. Et combien de personnes sont elles satisfaites par les seuls dépôts officiels ?
    Comment faire confiance aux PPA ajoutés ? comment même être certain qu’aucun paquet d’entre eux n’est pas infecté ? comment s’en rendre compte avec si peu de méfiance et tant d’orgueil en notre cher système ?

    Tout ce que l’on cherche ne se situe pas forcément dans les dépôts. Parfois, il faut télécharger soi même sur un site un paquet voire même compiler une source !
    Le simple fait d’avoir la possibilité de lire le code source nous procure le sentiment de sécurité, mais qui s’amuse à le faire ?

    Prétendre que les distributions GNU/Linux sont saines par leur seule nature « libre », c’est de la pure naïveté…

  8. @Brakbabord : oui il ne faut pas d’antivirus pour protéger Linux mais en avoir un pour éviter de les propager, c’est pas plus bête

    @phreg : oui sélection naturelle, le plus adapté survit, or le libre a démontré sa capacité à ce niveau.

    Même si Linux devient la cible de hackers, chaque faille sera corrigée et distribuée et en temps record. Linux n’est pas indestructible, c’est la communauté autour qui l’est.

  9. Il suffit de regarder ce qui se passe du coté des serveurs où linux y est très utilisé.
    Et la niveau sécurité, linux n’a pas à rougir face à ses concurrents et sans utiliser d’anti-virus.

    Sous linux il n’y a pas de virus.
    Il y a des vers, des troyans, des rootkits et on s’en protège en ayant un système à jour, avec un pare-feu correctement configuré et en n’installant pas n’importe quel logiciel.

  10. Un rootkit ne s’installe que s’il y a eu infection avant pour ouvrir un backdoor et nécessite les droits admin.

    Le choix et la diversité ne sont pas un problème sous linux.
    On a beaucoup de choix quand on achète une voiture ou des fringues et on ne se plaint pas… L’informatique est récente et on nous a habitué à ne pas avoir le choix, les choses changeront inévitablement et changent déjà avec les nouveaux usages (netbooks, mobiles, tablettes…)
    La voiture a eu sa ford T au début comme on a Windows et puis seulement après nous avons réclamer le choix…

  11. Bonjour !

    La diversité c’est bien, mais il faut quand même avouer que souvent elle se réduit à pas grand chose dans le cas des distributions Linux. Le principal critère de différentiation reste souvent les systèmes de paquets qui finissent par tous se ressembler (à quelques exceptions près). En terme « d’innovation », c’est un peu léger.

    Je ne pense pas que la multiplication des systèmes de paquets soit dissuasif pour celui qui veut diffuser un programme malin, mais ça l’est nettement plus pour le développeur qui veut rendre disponible son programme. Ça l’est même tellement que souvent il ne packagera son application que pour la plus populaire des distributions. Résultat, une petite distribution émergente qui se voudrait innovante aura du mal à satisfaire les besoins logiciels de ses utilisateurs et verra son développement limité.

    En bref, je soutiens l’idée que l’émergence d’un standard pour les méthodes d’empaquetages serait certainement plus pourvoyeur de diversité et d’innovation que la multiplication des systèmes de paquets.

    Pour finir, la sécurité apportée par les systèmes de dépôts me semble illusoire. Pas besoin d’infecter un dépôt, il suffit d’en créer un. Tu choisis une distribution populaire avec une politique de backports moisie (au hasard, Ubuntu), tu crées un dépôt proposant la dernière version de Firefox ou un autre programme attractif, tu attends d’avoir une bonne base d’utilisateur et là tu balances des paquets pourris.

    A+

  12. «« il n’intéresse tout simplement pas les concepteurs de virus. » Argument un peu facile. Mais je n’ai pas envie de le démonter aujourd’hui.

    « Si Linux devient populaire, le risque d’attaque virale ira grandissante. »

    Que disait-on avant l’explosion de la popularité de MacOS-X ? La même chose, et les faits ont prouvés que – jusqu’à présent – c’est de l’intox.»

    Les parts de marché supposées d’OSX ne sont pas non plus énormes.

    Et sans doute bien moindre que celles de Linux si on prend en compte les serveurs de toute sorte.

    Il reste que techniquement un virus sous unix c’est tout à fait possible, ça existe, et ça peut faire les mêmes dégâts.

    Certes, les habitudes des usagers en fonction de l’OS (Windows historiquement ne pousse pas à la prise en considération de ses propres responsabilités dans ce type d’attaque, ce qui n’est pas le cas des systèmes Unix) changent la donne sérieusement, mais à moins que les concepteurs de virus ne veuillent pas faire de virus/rootkit/… pour Unix, il n’y a aucune raison pour les risques grandissent à mesure que la popularité des systèmes grandissent.

    Voir, une fois encore, l’affaire gnome-look.org 😉

    Il y a deux moyens de lutter contre les attaques : de bonnes habitudes, et de bons outils.

    Windows dispose de bons outils mais n’a pas favorisé de bonnes habitudes (et il est difficile de faire changer les habitudes).

    Les unix ont favorisé de bonnes habitudes, mais ne disposent pas vraiment de très bons outils. C’est un mal moindre.

    Cette considération prise, Unix est avantagé, c’est certains.

    Pour le coup, et pour revenir au sujet, dans ce domaine la diversité du libre est une force.

    Bref, au fond, je suis tout à fait d’accord avec la réponse que vous m’avez donnée 😉

Les commentaires sont fermés.