Dans un environnement pur et
parfait, le logiciel libre ne serait pas plus sûr
que les logiciels dont le code source est tenu secret.
C'est la conclusion du travail d'un prestigieux chercheur
anglais, qui n'est autre que le directeur du laboratoire
informatique de Cambridge. Après formalisation
mathématique, Ross Anderson montre en effet qu'un
code source rendu public est aussi vulnérable
qu'un code source privé. Les individus qui tentent
d'attaquer un système, ainsi que ceux qui tentent
de le défendre sont logés à la
même enseigne : ils ne sont donc pas plus
avantagés avec un OS libre ou un OS proprétaire.
Ni Windows
ni Linux
Cet arbitrage intervient dans un contexte assez sulfureux :
les responsables de Microsoft soutiennent depuis bien
longtemps que Windows est plus sûr avec un code
privé qu'il ne le serait si son codé était
public. Les tenants du libre avancent au contraire que
l'ouverture du code permet aux membres de la communauté
open source de déceler les failles avant les
pirates, et de les corriger au plus vite. Dans
le match qui oppose Microsoft à l'open-source,
la science siffle donc et remet la balle au centre.
Le score est de zéro à zéro.
Mais comment Ross Anderson
a-t-il procédé pour parvenir à
de telles conclusions ? Il a utilisé une
application couramment employée par l'industrie
informatique qui permet de tester le temps que met un
système avant d'être affecté par
une panne. Un standard qui porte le nom de MTBF et qui
a déjà fait ses preuves dans les services
de contrôle qualité de nombre de fabricants.
Inutile de préciser que le protocole de test
a été calibré pour ne repérer
que les bugs qui mettent en danger la sécurité
d'un OS.
La vérité
ne sort pas du tube à essai
Attention tout de même :
le travail
de Ross Anderson est le fruit de recherches en
laboratoire, il se concentre donc par définition
sur un certain nombre de variables, et en élimine
d'autres. Le chercheur concède par conséquent
lui-même que ses travaux ont des limites. Si l'on
sort du laboratoire du chercheur pour entrer dans le
lieu où se combattent le logiciels libre et propriétaire,
on entre dans un environnement qui n'a rien de pur et
parfait. Les données du problème s'en
trouvent donc bouleversées. Dans la réalité,
Microsoft peut être tenté de mettre trop
lentement ses correctifs à disposition du public.
Mais dans le même temps, les pirates peuvent profiter
du fait que le code de Linux est public pour dénicher
plus facilement et plus vite les failles qui leur permettront
de pénétrer dans le système.
L'étude du professeur
Anderson ne tranche donc pas la question. Le scientifique
qui parviendra à répondre de façon
plus modeste et plus concrète à l'interrogation
qui tarraude tout le monde sera doute plus écouté :
"En moyenne, est-il plus difficile d'arriver au
même niveau de protection avec un OS libre ou
propriétaire ?". Une question à laquelle
seule une étude scientifique ambitieuse et empirique
pourrait répondre, en prenant ses distances avec
les effets d'annonce de certains acteurs et avec les
passions que porte l'open-source. Le débat reste
ouvert.
|