Linux moins fiable que Windows ?

Posté par  . Modéré par Benoît Sibaud.
Étiquettes : aucune
0
9
nov.
2002
Sécurité
La société mi2g spécialisée dans la gestion de risque va publier une étude classant les attaques recensées dans les dix premiers mois de l'année selon le système d'exploitation (OS) sur lequel elles ont été observées.
Une comparaison du nombre de failles relevées sur chaque système d'exploitation par rapport au niveau d'utilisation de ces systèmes dans le monde montre que Linux est affecté par un grand nombre de failles par rapport à sa part de marché.

Note du modérateur : les failles comptées concernent « les systèmes d'applications, les logiciels serveurs et les applications tierces ». Une distribution GNU/Linux contient largement plus de logiciels que les autres systèmes étudiés. On ne sait pas si les failles ont été comptées pour chaque distribution ou pour chaque paquet (genre apache et apache-ssl).

Aller plus loin

  • # Re: Linux moins fiable que Windows ?

    Posté par  . Évalué à -10.

    Cela ne m'etonne pas puisque Microsoft a injecte des milliards de dollars pour corriger les failles, chose que les distributeurs Linux ne peuvent pas se permettre.

    A mon avis cet article risque de susciter certains remous
  • # Re: Linux moins fiable que Windows ?

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    Et c'est bien connu que sous Linux, lorsque qu'une faille est découverte, on la laisse bien en place et on ne cherche surtout pas à la corriger, ou alors on bout d'un an quand on a le temps.
  • # Re: Linux moins fiable que Windows ?

    Posté par  . Évalué à 2.

    17% de failles dans Linux ? c'est gros quand même ... personnellement je ne me rappelle que de la faille avec les systèmes de fichiers corrigé par Alan Cox sur le ~2.2.20, plus l'histoire du strace sur un processs "setuid root" (epcs.c), plus deux ou trois autres babioles et c'est tout ...

    Le reste c'est des failles dans Kerberos, Glibc, Bind, Apache, PHP, etc. et dans ce cas on parle de la distribution Linux "XYZ" en cause mais pas de "Linux", non ?
    • [^] # Re: Linux moins fiable que Windows ?

      Posté par  . Évalué à 1.

      Jouer sur les mots n'a jamais fait avancer le schmilblick. Dans ce cas on peut dire que windows est fiable, les problèmes venant d'applications diverses et variées telles IIS ou Outlook.

      Quant à savoir de qui vient la faute, on met en avant le mode de travail collaboratif des logiciels libres, ce n'est pas pour se rejeter les problèmes les uns sur les autres et laisser la responsabilité des bugs à untel ou untel.
      • [^] # Re: Linux moins fiable que Windows ?

        Posté par  . Évalué à 1.

        non, mais je faisant mon "kilobug" et en plus j'ai oublié s,Linux,GNU\/Linux,g ... ;)
      • [^] # Re: Linux moins fiable que Windows ?

        Posté par  . Évalué à 5.

        Quand les gens parlent des failles de Windows, ils parlent des failles de produits Microsoft (pas des logiciels comme autocad). Parler de failles de « linux » pose un problème majeur : une distribution GNU/LInux ne correspond concretement qu'à une dizaine de logiciels système. (Tout le reste est à l'appreciation de l'utilisateur).

        Il est certainement plus facile de sécuriser un poste GNU/Linux dans la mesure où il est possible de limiter et de gérer exactement ce qui est utilisé.

        Mais finalement, le point qui me semble le plus important, ce sont les failles qui sont facilement exploitables et qui sont lourdes de conséquences : jusqu'à présent, il n'y a pas et ne peut avoir de Iloveyou et consort.
  • # Fiabilité de ce rapport ?

    Posté par  . Évalué à 0.

    Je n'arrive pas à retrouver l'info en Gogglant (!) mais j'aimerais savoir si c'est ce même type de rapport qui avait déja été trés critiqué ?
    Il cumulait plusieurs fois la même faille de sécurité en l'attribuant à chaque distribution. En conséquence Linux (au sens large du terme) se retrouvait avec des chiffres énormes concernant les failles de sécurité.
    De plus, je crois que le rapport ne tient pas compte du temps de correction des failles et que bien des failles ne le sont que sur des versions de développement qui ont des diffusions trés limité par rapport au version stable (à toujours utiliser en production !).
  • # Re: Linux moins fiable que Windows ?

    Posté par  . Évalué à 2.

    J'aime bien le raccourci journalistique : "moins de failles = moins vulnérable"

    Mac OS serait le système d'exploitation le moins vulnérable, avec moins de 25 vulnérabilités remarquées dans l'année.

    Le Journal du Net égal à lui-même
    • [^] # Re: Linux moins fiable que Windows ?

      Posté par  . Évalué à 2.

      C'est n'importe quoi, je suis sûr que le ZX81 est encore moins vulnérable (cette année au moins).
    • [^] # Re: Linux moins fiable que Windows ?

      Posté par  (site web personnel) . Évalué à 4.

      Vous préférez :
      - une faille avec accès root distant ou trois avec un accès nobody local ?
      - un débordement de tampon difficilement exploitable ou trois failles avec juste une URL à taper ?
      - une faille qui marche partout ou seulement sur la version ARM d'une appli ?
      - une faille sur des logiciels utilisés par 3% de la population utilisant le système concerné, ou une faille qui touche tous les utilisateurs d'un système donné ?
      - ...

      Bref, un peu de pondération me paraît indispensable.
      • [^] # Re: Linux moins fiable que Windows ?

        Posté par  . Évalué à 1.

        C'est comme si tu vas sur le site officiel de FreeBSD, tu vois qu'il y a environ 40 failles par an pour le système de base + 20 pour les applications tierces. Le système de base, contient lui aussi des applications qui pourraient être tierces, comme openssl, openssh, ...

        Si on enlève les bugs permettant des accès difficilement exploitable à la mémoire ou à certains fichiers, les bugs qui ne sont exploitables qu'avec un compte local, les bugs qui sont exploitables que si certains services sont utilisés, on recompile le noyau environ 4 fois par an (pour fixer tout les trous, y compris ceux difficilement exploitables et utilisable qu'en local !). D'autres trous sont corrigibles en changeant la config, ou en enlevant le suid si on ne souhaite pas recompiler le soft. A part openssh, l'an passé, il n'y a pas eu de vulnérabilité à distance digne de ce nom pour le système de base.

        Si de plus on considère que tout les services tiers sont encapsulés dans des machines virtuelles (jails), on peut dire que je suis un admin qui dors bien.

        Alors quand on voit ces comparatifs à la con qui disent que les unix en général sont plus vulnérable que windows, ça fait pitié, des incompétants ou des corrompus. Ce qui est triste, c'est que beaucoup de gens gobent ces chiffres et vous les resortent...
  • # Win rapporte plus de dollars que Linux

    Posté par  . Évalué à 0.

    Ben oui.
    Un bon vendeur, c'est pouvoir vendre du caca à 2 sous pour le prix d'un diamant à 10 carats.
    Il faut etre dans un creneau, le seul si possible, grosse équipe de marketting, puissance et autodéveloppement financier etc..
    Si j'étais un boss de MS, je serai encore bien plus agressif.
    Is ont l'occasion UNIQUE de gagner encore beaucoup d'argent.
    QUI serait asez fou pour laisser passer ces occasions ?
    Cout de production d'un licence Win : 10francs.
    Vente d'un licence WIn: variable de 350 à 1700F, sans parler des applis!
    Windows m'a souvent pourri la vie: énervement, perte d'argent, baisse de libido,etc....
    Mais bon, pour beaucoup de consommateurs, c'est encore ""ouahhh, on a le dernier PC, c'est génial, on peut déssiner, on a meme une WebCAM pour faire des photos"
    "Il faut absolument la der version de Win."
    Pourquoi faire ?
    Comme "tout le monde" ?
    Ben c'est triste.

    1500euros pour une CONNERIE de machine pareille, bonne à foutre à la verse dans 2 ans , qui ne vous apportera
    aucun nouveau plaisir perso, et meme du temps de perdu, aucune garantie, dépéciation rapide, obligation de cotiser annuellement ?

    C'est trop bon pour les commerciots...

    hahaha
    • [^] # Les élites parlent aux élites

      Posté par  . Évalué à -6.

      Vous me faites bien marrer, vous, les linuxiens, à vous prendre pour des élites.

      Tout ce que veut l'utilisateur normal, c'est une machine fonctionnelle qui ne nécessite pas de sortir de l'EPITA pour pouvoir s'en servir. Vous n'avez pas encore compris qu'ils se fichent royalement de vos polémiques sur une prétendue stabilité d'un OS ésotérique ou sur une prétrendue liberté qui de toute façon n'est pas viable sur le plan macro-économique ?

      Si on en écoutait certains, tout le monde serait sous Debian GNU/Linux, naviguerait sur Internet avec Lynx et taperait ses documents en LaTeX avec Vi. Je comprends que certains puissent être nostalgiques des années 80, mais l'informatique a évolué depuis.

      Vous pouvez vous lamenter autant que vous voulez, il vous faudra le reconnaître : c'est en partie grâce à Windows que l'informatique s'est démocratisée et a pu atteindre ce niveau de développement considérable. Une interface graphique conviviale, des applications faciles à installer et à configurer (on à inventé la souris depuis un bout de temps vous savez) ont montré que Microsoft sait être à l'écoute de ses clients, contrairement à quelques sectaires qui codent pour un hypothétique système (Hurd je crois) en s'écoutant parler et qui méprisent tout ce qui n'est pas sous la sacro-sainte licence GPL.

      Sur ce je vous laisse disserter entre fanatiques qui croient être les maîtres de l'informatique pour prétexte qu'ils savent recompiler un noyau pour installer un driver.
      • [^] # Re: Les élites parlent aux élites

        Posté par  . Évalué à 0.

        Bang! Mon trollomètre a explosé!
        Tu n'aurais jamais dû parler de l'EPITA!!
      • [^] # Re: Les élites parlent aux élites

        Posté par  . Évalué à 2.

        [+] ... et [-]

        [+] parce que y a du bon, c vrai que l'info a beaucoup évolué en partie grâce à Microsoft Windows, mais dans quel sens ?

        [-] parce que :
        1) non Microsoft n'est pas à l'écoute de ses clients mais plutôt de ses actionnaires
        2) la souris c bien mais c bien souvent une perte de temps (necessité de déplacer le bras, d'où perte de temps)
        3) t pas obligé de recompiler le noyau pour installer un driver, il suffit de compiler le drivers en module du noyau.
        4) t pas obligé d'être ironique/irréverencieux dans tes propos...
      • [^] # Re: Les élites parlent aux élites

        Posté par  . Évalué à 0.

        on va encore crier au vilain geek mais perso plus j' utilise windows, plus je trouve ça a chier...
        et puis merde, linux c' est pas compliqué !
        </troll>
      • [^] # Re: Les élites parlent aux élites

        Posté par  . Évalué à 1.

        « c'est en partie grâce à Windows que l'informatique s'est démocratisée et a pu atteindre ce niveau de développement considérable. Une interface graphique conviviale, des applications faciles à installer et à configurer (on à inventé la souris depuis un bout de temps vous savez) ont montré que Microsoft sait être à l'écoute de ses clients, contrairement à quelques sectaires qui codent pour un hypothétique système (Hurd je crois) en s'écoutant parler et qui méprisent tout ce qui n'est pas sous la sacro-sainte licence GPL. »

        A) Il est vrai que MS Windows à contribué à un moment donné à démocratiser l'informatique. En partie du fait qu'il était facilement copiable.

        B) Au meme moment, Microsoft déjà empechait les utilisateurs de faire réellement ce qu'ils veulent de leur ordinateur : exemple simple, DR-DOS qui était parfaitement compatible avec MS-DOS ne pouvait démarrer MS Flight Simulator.

        C) « Microsoft sait être à l'écoute de ses clients » : cela signifierait que savoir commercer signifie etre à l'écoute. Je pense que tu te méprends : vendre, ce n'est pas nécessairement donner aux gens ce dont ils ont besoin mais s'assurer qu'on peut vendre ce qu'on produit au gens. Néanmoins, il est vrai que Microsoft à des commerciaux relativement habile.

        D) « quelques sectaires qui codent pour un hypothétique système » : tout est hypothétique à un moment donné. Cette remarque est donc relativement stérile.

        E) « en s'écoutant parler et qui méprisent [...] » : généraliser est un exercice difficile. Pour pouvoir modéliser, il faut faire une série de test prouvant la pertinence de cette généralisation. Et il faut décrire ces tests. Sinon, c'est gratuit... Mais c'est efficace : dire « les arabes sont des voleurs », par exemple, est assez juteux en terme electoral, par exemple, bien que la démonstration sérieusement n'a encore jamais pu etre faite (et pour cause !).
        En disant cela, je ne dit pas que tu es adhérent à tel ou tel parti (ce qui te regarderait, de toute façon), je me contente de transposer le procédé que tu emploies avec un exemple plus clair.

        F) « méprisent tout ce qui n'est pas sous la sacro-sainte licence GPL » : tu peux appeller mépris cette attitude qui consiste à ne pas avoir tendance à apprecier des logiciels non-GPL. Puisque tu parles explicitement de personnes du projet GNU (le projet Hurd), je te signale que sur ce site sont présents des argumentaires et reflexions concernant le choix de licences. Résumer cela a du mépris (un sentiment et non un choix très rationnel) me parait très douteux.

        G) « je vous laisse disserter entre fanatiques qui croient être les maîtres de l'informatique pour prétexte qu'ils savent recompiler un noyau pour installer un driver. » Sur quoi repose cette assertion ?
      • [^] # Re: Troll

        Posté par  . Évalué à 0.

        Bon, j'avoue, c'est moi le coupable (mais seulement celui-là).

        -1000
      • [^] # Re: Les élites parlent aux élites

        Posté par  . Évalué à 0.

        Tres beau troll ma foi.
        Ceci etant dit, je prefere remercier les vrais createurs des techno
        pompees par microsoft, et en premier Xerox et Mac.
        Et puis, LaTeX, c'est tres bien et contrairement a un logiciel
        microsoft, on a pas encore trouve de bug a celui-la ^^

        Ni.
        • [^] # Commentaire supprimé

          Posté par  . Évalué à 1.

          Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Les élites parlent aux élites

        Posté par  . Évalué à 2.

        Ah oui, tout le monde devrais utiliser LaTeX ;-), mais si t'aime pas vi essaye LyX.

        st en partie grâce à Windows que l'informatique s'est démocratisée et a pu atteindre ce niveau de développement considérable
        Tu appelle Windows un niveau de développement considérable?

        Une interface graphique conviviale
        Ça c'est aux mac qu'on le doit, windows n'a fait que copier, et X-Window est encore antérieur à ça (mais il n'était pas convivial)

        des applications faciles à installer
        Et qui te mettent le bordel dans ton système parce qu'elle te demandent pas ton avis, et niveau simplicité d'installation ET de désinstallation j'ai pas encore vu mieux que rpm/deb (allié à urpmi ou apt-get c'est encore plus du bonheur).

        et à configurer
        Là, d'accord ce n'est pas encore tout à fait ça, mais Gnome et KDE font quand même un boulot excelent.

        on à inventé la souris depuis un bout de temps vous savez
        Et ce n'est ni ms ni apple qui l'ont inventé! Ça remonte à 1968 et je te renvoit à l'histoire de l'informatique
        http://histoire.info.free.fr/gui.html(...)

        Tu est mal placé pour parler de tolérence, toi qui viens insulter les gens.
        • [^] # Re: Les élites parlent aux élites

          Posté par  . Évalué à 1.

          mmmhmm... tu as marché dedans du pied gauche j'espère ;)

          allez, [+] pour toi et [-] pour moi pour la peine :)

          PS: c'est peut-être Xerox qui a inventé la souris, mais des fois la souris c à chier, il faut bien le reconnaitre...

          --
          nodens
          Elle sont passées où ma signature et ma boiboite -1 ?
  • # Re: Linux moins fiable que Windows ?

    Posté par  . Évalué à 3.

    Une comparaison du nombre de failles relevées sur chaque système d'exploitation par rapport au niveau d'utilisation de ces systèmes dans le monde

    C'est surtout ca qui est n'importe quoi : depuis quand un système est moins vulnérable parcequ'il est plus utilisé ? Avec leur système de calcul, il faudrait que Linux avec toutes les applications fournies (quelques milliers) ai 93 fois moins de failles découvertes que Windows (avec les 3 ou 4 programmes fournis : mediaplayer, notepad et explorer en gros), la part de marché de Windows étant 93 fois plus importante que celle de GNU/Linux.

    Le plus marrant, c'est que dans leur tableau, Windows avec 43% des failles est moins vulnérable que Linux avec 17% des failles ...


    A classer dans la section humour cet article.


    Etienne
    • [^] # Re: Linux moins fiable que Windows ?

      Posté par  . Évalué à 1.

      Rajoutons également que Linux est (entre autre) opensource ce qui permet de pirater beaucoup plus facilement les mécanismes principaux.
      Pas besoin de reverser le code comme c'est souvent fait pour Windows. La sécurité par l'obscurantisme reste en pratique un moyen facile de sécuriser à moindre frais et à court terme un programme.
      Dans la pratique le nombre de faille du noyau Linux est tres important (bq plus que le noyau Windows) mais à long terme la situation est bq plus saine: partie de code parfaitement maitriser ...

      D'ailleurs Microsoft ne peut plus faire marche arrière (libérer le code source pr en faciliter l'audit) car se serait un véritable apocalypse de l'Internet. Imaginez des centaines (milliers ?) de failles révélée en quelques semaines....
      Si une solution obscurentisme est une solution envisageable pour certains logiciels, ce n'est nullement le cas pour un noyau (et à postériori pour toutes une gamme de logiciel: office etc).

      Microsoft est condamné à construire son empire sur des oeufs.

      J'ai légèrement changer de sujet mais je pense qu'il y a des choses à rappeler.
      • [^] # Re: Linux moins fiable que Windows ?

        Posté par  . Évalué à 2.

        D'ailleurs Microsoft ne peut plus faire marche arrière (libérer le code source pr en faciliter l'audit) car se serait un véritable apocalypse de l'Internet. Imaginez des centaines (milliers ?) de failles révélée en quelques semaines....


        Ils ne peuvent pas le faire, car c'est interdit par le DMCA/EUCD. Ce serait révéler des moyens de briser un système de sécurité destiné entre autres à protéger des informations copyrightées. Les pauvres, brimés par le système...
    • [^] # Re: Linux moins fiable que Windows ?

      Posté par  . Évalué à 0.

      Rajoutons également que Linux est (entre autre) opensource ce qui permet de pirater beaucoup plus facilement les mécanismes principaux.
      Pas besoin de reverser le code comme c'est souvent fait pour Windows. La sécurité par l'obscurantisme reste en pratique un moyen facile de sécuriser à moindre frais et à court terme un programme.
      Dans la pratique le nombre de faille du noyau Linux est tres important (bq plus que le noyau Windows) mais à long terme la situation est bq plus saine: partie de code parfaitement maitriser ...

      D'ailleurs Microsoft ne peut plus faire marche arrière (libérer le code source pr en faciliter l'audit) car se serait un véritable apocalypse de l'Internet. Imaginez des centaines (milliers ?) de failles révélée en quelques semaines....
      Si une solution obscurentisme est une solution envisageable pour certains logiciels, ce n'est nullement le cas pour un noyau (et à postériori pour toutes une gamme de logiciel: office etc).

      Microsoft est condamné à construire son empire sur des oeufs.

      J'ai légèrement changer de sujet mais je pense qu'il y a des choses à rappeler.
    • [^] # Re: Linux moins fiable que Windows ?

      Posté par  . Évalué à 1.

      d'autant que les pdm devraient être celles des machines serveur, qui sont le plus susceptibles de faire l'objet de ces attaques (un nid de windows derrière un ou deux fw linux ou obsd, c tout de même moins attractif pour le cracker).
      d'ailleurs, le résultat pour openbsd doit etre catastrophique, car sa pdm globale est ridicule, et qu'il y a eu une faille de sécurité découverte cette année, ce qui du coup est énorme. donc peut etre qu'openbsd est moins sûr que windows.

      bref, je suis mort de rire.
  • # Commentaire supprimé

    Posté par  . Évalué à 1.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Linux moins fiable que Windows ?

      Posté par  . Évalué à 1.

      Ton calcul est faux...

      Un host c'est : un serveur, un routeur, un port modem pour se connecter, une workstation a l'uni du coin, etc...

      Linux c'est 50% des serveurs web, pas des hosts. Netcraft recense 38 millions de sites web, hors souvent plusieurs sites web sont presents sur la meme machine --> il y a bien moins de 38 millions de serveurs web sur le net.
      • [^] # Commentaire supprimé

        Posté par  . Évalué à 2.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Linux moins fiable que Windows ?

          Posté par  . Évalué à 0.

          Mon raisonnement est tres simple:

          L'enorme majorite des societes qui font de l'hebergement web mettent des dizaines voire plus d'une centaine de sites web sur la meme machine.

          Netcraft reporte 35 millions de sites web, imaginons qu'il y en ait 51 millions(ce qui doit a mon avis etre au dessus du chiffre reel)

          1 million de ces sites sont les sites "frequemment visites", qui demandent une ou plusieurs machines a eux seuls, tu remarqueras que le chiffre de 1 million est enorme, c'est le but, je veux etre sur de ne pas sous-estimer le chiffre.
          A raison de 4 serveurs en moyenne(et je suis tres gentil, car 99% de ces sites tournent sur 1 ou 2 machines, et un tres faible nombre demande plus d'une centaine de machines), ca fait 4 millions de serveurs.

          A raison de 20 sites web par machine(ce qui est tres faible) pour les petits sites, on se retrouve avec 2.5 million de serveurs web.

          Au total, t'arrives a 6.5 million de serveurs, bien en deca des 40 millions de serveurs de ton calcul. Meme en doublant le nombre de sites a 100 millions, t'arriverais meme pas a 15 million de serveurs.

          J'en deduis donc que ton chiffre de 40 million de serveurs web est tres exagere, mes chiffres ne sont surement pas justes, mais ils sont par contre surement au dessus du chiffre reel.
    • [^] # Re: Linux moins fiable que Windows ?

      Posté par  . Évalué à 2.

      Tu fais une grosse erreur, apache existe sur beaucoup d'architectures, pas seulement Linux ni même les systèmes libres, il y a aussi des apaches sous win et ils ne sont pas négligeables.
      60% d'apache ça veut dire que 60% des sites fonctionnent sur du libre, mais pas forcément sur du Linux (n'oublions pas les *bsd macos et autres windows).
      • [^] # Commentaire supprimé

        Posté par  . Évalué à 2.

        Ce commentaire a été supprimé par l’équipe de modération.

  • # Ils jugent vraiment mal sur les failles!

    Posté par  . Évalué à 1.

    >Inversement, si Windows arrive en tête du nombre de failles
    >rapportées (plus de 500), il ne faut pas oublier qu'il s'agit de l'OS le
    >plus répandu, et de loin (93%).
    >La mauvaise surprise vient de Linux affecté par un nombre de failles
    >conséquent (plus de 200). Cependant, si sa part de marché est
    >faible au niveau des postes clients (1%), l'OS libre équipe presque
    >un serveur sur deux par l'intermédiaire d'Apache.

    C'est pas parce qu'un OS est plus répandu qu'un autre qu'il est moin suceptible d'avoir des failles par rapport à un autre! D'ou le fait qu'il sont rapporté plus de failles dans Windows que dans Linux. Et en plus pour Windows, il peut être difficile/long d'avoir un patch lorsqu'une faille est découverte du au fait que c'est du logiciel propriétaire. Avec les logiciels libres les failles sont souvent rapportés très rapidement et si les mainteneurs du logiciel n'offrent pas un patch tout de suite, il y a toujours moyen de patcher sois-même le logiciel si on sais comment.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.