Windows plus sécurisé que Linux ? C'est en tout cas ce qu'affirme
l'étude Forrester Research menée en mars dernier pour le compte
de Microsoft et de sa campagne publicitaire "Get the facts". Pas si sûr dénonce Nicolas Petreley,
analyste chez Evan Data et auteur des livres Official Fedora
Companion et Linux Desktop Hacks.
Dans un livre blanc, l'homme
revient sur les diverses raisons qui ont amené le cabinet
Forrester à terminer son étude par la conclusion qu'un système
d'exploitation Windows était plus sécurisé qu'un système Linux.
Première fausse vérité, Windows est plus populaire que Linux
et fait par conséquent, l'objet d'attaques plus fréquentes.
Nicolas
Petreley prend l'exemple du marché des serveurs Web. Au mois
de septembre 2004, les statistiques du site Netcraft créditaient
Apache, le serveur http Open Source, de 68% de parts de marché
contre seulement 21% pour IIS. Plus populaire, Apache devrait
donc faire l'actualité des journaux à cause des attaques réussies
à son encontre.
Or, l'analyste note que malgré quelques cas comme le
ver Slapper, l'actualité la plus marquante demeure au crédit
du serveur IIS, comme les ver Red.A ou IISWorm. En juin dernier,
le virus Scob infectait les pages d'accueils d'une centaine
de grands sites Internet fonctionnant sous IIS (lire l'article
du 28/06/2004).
Le
niveau de gravité moyen
des failles sous Windows double
par rapport à Linux. |
Deuxième mythe pointé par l'étude Forrester, rendre le code
ouvert donne aux hackers une certaine facilité pour écrire
un programme malveillant qui exploiterait des failles. Un
point mis en parallèle avec le nombre d'alertes de sécurité
plus importantes sur Linux que sur Windows. Si M. Petreley
ne revient pas sur les alertes de sécurité, il analyse la
gravité de celles-ci.
D'après les données fournies par Microsoft, 38% des patchs
récents de son système Windows Server 2003 étaient considérés
comme critiques, contre seulement 10% des patchs et alertes
sur les systèmes Red Hat. Des chiffres confirmés par le département
du CERT américain (Computer Emergency Readiness Team), le
laboratoire spécialisé en sécurité informatique.
Sur la base de données de l'organisme, Microsoft totalise
aujourd'hui 250 entrées, contre 46 pour Red Hat et 100 pour
Linux. 39 des 40 derniers patchs de sécurités sur Windows
sont considérés comme ayant un risque "sérieux", Red Hat
en compte 3 sur 40 et Linux 6 sur 40. Sur une échelle de 0
à 180, le risque moyen d'une vulnérabilité découverte sous
Windows atteint 54,67 alors que sur l'ensemble des distributions
Linux, il s'élève à 28,48 et à 17,96 chez Red Hat.
Ainsi, le système d'exploitation de Microsoft, malgré son
code fermé donne lieu à davantage de menaces sérieuses que
l'architecture des systèmes Linux, pourtant en code ouvert.
Dernier point démystifié, Microsoft serait plus réactif que
les éditeurs Linux pour corriger les failles. Sur cet aspect,
M. Petreley rappelle que la firme de Redmond a mis plus de
sept mois à corriger l'une de ces failles sérieuses et a indiqué
qu'elle ne corrigerait jamais d'autres failles (MS Bulletin
MS04-007 et MS03-010).
|