Dans un environnement pur et parfait, le
logiciel libre ne serait pas plus sûr que les logiciels dont
le code source est tenu secret. C'est la conclusion du travail d'un
prestigieux chercheur anglais, qui n'est autre que le directeur
du laboratoire informatique de Cambridge. Après formalisation
mathématique, Ross Anderson montre en effet qu'un code source
rendu public est aussi vulnérable qu'un code source privé.
Les individus qui tentent d'attaquer un système, ainsi que
ceux qui tentent de le défendre sont logés à
la même enseigne : ils ne sont donc pas plus avantagés
avec un OS libre ou un OS proprétaire.
Ni Windows ni Linux
Cet arbitrage intervient dans un contexte assez sulfureux :
les responsables de Microsoft soutiennent depuis bien longtemps
que Windows est plus sûr avec un code privé qu'il ne
le serait si son codé était public. Les tenants du
libre avancent au contraire que l'ouverture du code permet aux membres
de la communauté open source de déceler les failles
avant les pirates, et de les corriger au plus vite. Dans
le match qui oppose Microsoft à l'open-source, la science
siffle donc et remet la balle au centre. Le score est de zéro
à zéro.
Mais comment Ross Anderson a-t-il procédé
pour parvenir à de telles conclusions ? Il a utilisé
une application couramment employée par l'industrie informatique
qui permet de tester le temps que met un système avant d'être
affecté par une panne. Un standard qui porte le nom de MTBF
et qui a déjà fait ses preuves dans les services de
contrôle qualité de nombre de fabricants. Inutile de
préciser que le protocole de test a été calibré
pour ne repérer que les bugs qui mettent en danger la sécurité
d'un OS.
La vérité
ne sort pas du tube à essai
Attention tout de même :
le travail
de Ross Anderson est le fruit de recherches en
laboratoire, il se concentre donc par définition sur un certain
nombre de variables, et en élimine d'autres. Le chercheur
concède par conséquent lui-même que ses travaux
ont des limites. Si l'on sort du laboratoire du chercheur pour entrer
dans le lieu où se combattent le logiciels libre et propriétaire,
on entre dans un environnement qui n'a rien de pur et parfait. Les
données du problème s'en trouvent donc bouleversées.
Dans la réalité, Microsoft peut être tenté
de mettre trop lentement ses correctifs à disposition du
public. Mais dans le même temps, les pirates peuvent profiter
du fait que le code de Linux est public pour dénicher plus
facilement et plus vite les failles qui leur permettront de pénétrer
dans le système.
L'étude du professeur Anderson
ne tranche donc pas la question. Le scientifique qui parviendra
à répondre de façon plus modeste et plus concrète
à l'interrogation qui tarraude tout le monde sera doute plus
écouté : "En moyenne, est-il plus difficile
d'arriver au même niveau de protection avec un OS libre ou
propriétaire ?". Une question à laquelle seule
une étude scientifique ambitieuse et empirique pourrait répondre,
en prenant ses distances avec les effets d'annonce de certains acteurs
et avec les passions que porte l'open-source. Le débat reste
ouvert.
[Nicolas Six, JDNet]