English translation
editLinux's reputation for security is based on a number of reasons, which vary according to the use to which the operating system is put.
In the first place, as a workstation, Linux enforces a strict separation of privileges, a practice which rival operating systems less often use. One consequence of this feature is that, should a virus or worm infect the system, only one part of the resources and functionality of the system is affected, while the user's important data, and that of other users, remains untouched.
By comparison with the operating systems in general use among the public, Linux, and Unix before it, is primarily used among people of solid technical knowledge, and aware of problems of security, since the first vulnerabilities of operating systems were discovered in the Unix system as early as 1972, including the first viruses and worms. Thus the developement of Linux has taken place in a security-conscious environment, as evident in the number of free software of high quality which originate from the Linux world.[1].
In the domain of servers, by contrast, the degree of security depends above all on the degree of experience possessed by the system administrator. Here linux has an advantage due to the freedom of use it allows, so that various scenarios on different computers may thoroughly tested without risk or cost, and useful experience gained.
There are a series of distributions specifically targetted at security, and such initiatives as SELinux of the National Security agency aim at reaching the highest level possible. On the other hand, anti-security distributions also exist, such as Damn Vulnerable Linux and BackTrack, to enable experts and interested parties to learn about security problems which might afflict operating systems.
Another circumstance which tells in favour of Linux is the variety of platforms whose hardware is supported, as well as software. A failure of security affecting the most popular client email will only cause harm to a fraction of users of free software ; on the other hand, a failure in Outlook could perhaps, in one blow, inconvenience a much larger proportion of Windows users. This finding was set forth in a report commissioned by the CCIA, and written by leaders in the field such as Bruce Schneier; and it was repeated in a document by the company Gartner. [2]
La plupart des ordinateurs tournent sous Microsoft™, et, par conséquent, la plupart des ordinateurs du monde sont vulnérables aux mêmes virus et aux mêmes vers au même moment. Le seul moyen d'éviter cela est d'éviter la monoculture logicielle dans le domaine des systèmes d'exploitation pour les mêmes raisons raisonnables et évidentes pour lesquelles on évite la monoculture en matière d'agriculture. Microsoft exacerbe ce problème via une panoplie de pratiques visant à verrouiller ses utilisateurs à sa plate-forme. L'impact sur la sécurité de ce verrouillage est réel et représente une menace pour la société.
Finally, since Linux is free, as are the free software which run under it, the source code may be examined by whosoever pleases to do so, and changes accordingly effected, in an educative environment, so that the private interests of a business or institution, or those of individuals, may be met. Accordingly, it is argued that failures in security are corrected rapidly; though this conclusion is alternatively affirmed and refuted by various studies, according to their source of funding. Moreover, the freeness of software renders useless the practice of pirating, through cracks or through web sites such as warez, very popular among experienced users of other operating systems, and which constitutes a significant source of infection of systems.
However this may be, Linux is not entirely invulerable to problems of security; as was seen in September 2002, when the worm Slapper, the first of its kind, caused havoc among a number of important computers running Linux, mostly web servers using Apache (6000 at its peak [3]).
Some, including Bruce Schneier, have seen Linux as an insecure system [4] ; indeed between 2003 and 2008 nearly 4900 vulnerabilities were uncovered, being spread among the different distributions. [5]. These for the most part were rapidly corrected, though some are thought to remain.
But this number does not necessarily constitute a reliable measure of the system's security, for it still remains to be considered :
- their impact on the system ; and
- the times in which the system is vulnerable. (in French) Actualités ZDNET du 11 janvier 2006</ref>.
Original text and translation side-by-side
editLes raisons pour lesquelles Linux est réputé avoir une bonne sécurité informatique[citation needed] sont diverses et dépendent également du domaine d'utilisation.
Linux's reputation for security is based on a number of reasons, which vary according to the use to which the operating system is put.
Ainsi, sur le poste de travail, Linux bénéficie d'une stricte séparation des privilèges, ce qui dans la pratique n'est souvent pas utilisé avec des systèmes concurrents[citation needed]. Une des conséquences est qu'un ver ou virus informatique ne peut accéder qu'à une partie des ressources et fonctionnalités d'un système Linux, mais ni aux données importantes du système, ni aux données d'éventuels autres utilisateurs.
In the first place, as a workstation, Linux enforces a strict separation of privileges, a practice which rival operating systems less often use. One of the consequences of this security feature is that, should a virus or worm infect the system, only one part of the ressources and functionality of the system is affected, while the user's important data, and that of other users, remains untouched.
Par comparaison avec d'autres systèmes grand-public, Linux, et avant lui UNIX, s'est propagé d'abord parmi des gens possédant un solide bagage technique et sensibles aux problèmes de sécurité informatique d'autant plus que les premières vulnérabilités informatiques sont apparues sous UNIX (1972) ainsi que les premiers virus et vers. Le développement de Linux s'est, par conséquent, déroulé dans un contexte où la sécurité était une question critique, comme en témoigne le nombre de logiciels de qualité dans ce domaine qui sont libres et originaires du monde Linux/UNIX[6].
By comparison with the more popular operating systems, Linux, and Unix before it, is generally used among people of solid technical knowledge, and aware of problems of security, since the first vulnerabilities of operating systems were discovered in the Unix system as early as 1972, including the first viruses and worms. Thus the developement of Linux has been in a security-conscious environment, as is evident in the number of free software of high quality which originate from the Linux world.[7].
Dans le domaine des serveurs, le degré de sécurité dépend, par comparaison, avant tout du degré d'expérience qu'a l'administrateur système. Là, Linux marque des points grâce à sa liberté d'utilisation, qui permet sans risque et sans surcoût de tester abondamment divers scénarios sur d'autres ordinateurs, et d'y acquérir ainsi une expérience utile.
In the domain of servers, by comparison, the degree of security depends above all on the degree of experience possessed by the system administrator. Here linux has an advantage due to the freedom of use permitted, which allows scenarios on different computers to be thoroughly tested without risk or cost, so that useful experience might be gained.
Il existe une série de distributions spécifiquement axées sur la sécurité, et des initiatives telles que SELinux de la National Security Agency pour atteindre des niveaux de protection toujours plus hauts. Mais aussi, une série de distribution axée sur l'anti-sécurité, comme Damn Vulnerable Linux ou BackTrack, pour sensibiliser les experts et les aspirants, aux problématiques de sécurité sur ce système d'exploitation.
There are a series of distributions specifically targetted at security, and such initiatives as SELinux of the National Security agency aim at reaching the highest level possible. On the other hand, anti-security distributions also exist, such as Damn Vulnerable Linux and BackTrack, to enable experts and interested parties to learn about security problems which might afflict operating systems.
Un autre argument avancé est la variété des plates-formes matérielles supportées, ainsi que les solutions logicielles. Une faille de sécurité touchant le plus populaire client email ne touchera qu'une fraction des utilisateurs de logiciels libres ; par contraste, une faille touchant Outlook Express pouvait toucher d'un coup une proportion énorme des utilisateurs de Windows. Cette thèse est développée dans un rapport écrit par des sommités du domaine comme Bruce Schneier pour le compte de la CCIA et reprise par la société Gartner dans un document[8]. Une partie est traduisible ainsi :
Another circumstance which tells in favour of Linux is the variety of platforms whose hardware is supported, as well as software. A failure of security affecting the most popular client email will only cause harm to a fraction of users of the free software ; on the other hand, a failure in Outlook could perhaps in one blow inconvenience a much larger propertion of Windows users. This finding was set forth in a report commissioned by the CCIA, and written by leaders in the field such as Bruce Schneier; and was repeated in a document by the company Gartner. [9]
La plupart des ordinateurs tournent sous Microsoft™, et, par conséquent, la plupart des ordinateurs du monde sont vulnérables aux mêmes virus et aux mêmes vers au même moment. Le seul moyen d'éviter cela est d'éviter la monoculture logicielle dans le domaine des systèmes d'exploitation pour les mêmes raisons raisonnables et évidentes pour lesquelles on évite la monoculture en matière d'agriculture. Microsoft exacerbe ce problème via une panoplie de pratiques visant à verrouiller ses utilisateurs à sa plate-forme. L'impact sur la sécurité de ce verrouillage est réel et représente une menace pour la société.
Enfin, le fait que Linux et nombre de logiciels tournant sous Linux soient des logiciels libres permet que son code source soit étudié d'un œil critique par quiconque désirant le faire, que ce soit pour effectuer des adaptations, dans un cadre éducatif, pour répondre aux intérêts privés d'une entreprise/institution ou par simple intérêt personnel (pour en exploiter les vulnérabilités par exemple). En relation avec cela, on entend souvent l'argument que les failles de sécurité sont corrigées plus rapidement, affirmation approuvée et réfutée par diverses études, en fonction généralement de leur source de financement. Enfin, la liberté des logiciels rend inutile le recours au piratage des logiciels, aux cracks ou autres sites warez très populaires parmi les adeptes des autres systèmes d'exploitation, et qui constituent un vecteur d'infection des ordinateurs.
Finally, since Linux is free, as is the free software which run under it, the source code may be examined by whosever pleases to do so, and changes accordingly effected, in an educative environment, so that the private interests of a business or institution, or those of individuals, may be met. Accordingly, it is argued that failures in security are corrected rapidly, though this conclusion is alternatively affirmed and refuted by studies, according to their source of funding. On the other hand, the freeness of software renders useless the practice of pirating, through cracks or through web sites such as warez, very popular among experienced users of other operating systems, and which constitues a significant source of infection of systems.
Reste que Linux n'est pas totalement insensible aux problèmes de sécurité, comme l'a montré le ver Slapper en septembre 2002, premier du genre à toucher un nombre notable d'ordinateurs sous Linux, avant tout des serveurs web tournant sous Apache (6,000 à l'apogée du ver[10]).
However this may be, Linux is not entirely invulerable to problems of security; as was seen in September 2002, when the worm Slapper, the first of its kind caused havoc among a number of important computers running Linux, mostly web servers using Apache (6000 at its peak [11]).
De plus Linux reste un système d'exploitation vulnérable [12], ainsi près de 4,900 vulnérabilités ont été recensées entre 2003 et 2008, celles-ci sont réparties sur les différentes distributions disponibles
Some, including Bruce Schneier, have seen Linux as an insecure system [13] ; indeed, between 2003 and 2008 nearly 4900 vulnerabilities were uncovered, being spread among the different distributions. [14]. Celles-ci ont été, pour la plupart, corrigées assez rapidement, tandis que d'autres subsistent[citation needed].
En revanche, le nombre de failles découvertes durant une période précise n'est pas une mesure fiable pour déterminer la sécurité d'un système d'exploitation, il faut déterminer :
- leur impact sur le système ;
- le temps de vulnérabilité du système[15].
But this number does not necessarily constitute a reliable measure of the system's security, for it still remains to be considered :
- their impact on the system ; and
- the times in which the system is vulnerable. (in French) Actualités ZDNET du 11 janvier 2006</ref>.
References
edit- ^ insecure.org propose un classement des logiciels ayant trait à la sécurité.
- ^ (in English) "CyberInsecurity: The cost of Monopoly" (PDF)., un document du CCIA dénonçant des dangers d'un système monopolitaire.
- ^ (in English) vnunet.com annonce l'évolution de Slapper en septembre 2002.
- ^ Bruce Schneier, 3 mai 2007 : « [...] les produits et services informatiques ne sont pas naturellement sûrs. »
- ^ Site recensant les failles de Linux.
- ^ insecure.org propose un classement des logiciels ayant trait à la sécurité.
- ^ insecure.org propose un classement des logiciels ayant trait à la sécurité.
- ^ (in English) "CyberInsecurity: The cost of Monopoly" (PDF)., un document du CCIA dénonçant des dangers d'un système monopolitaire.
- ^ (in English) "CyberInsecurity: The cost of Monopoly" (PDF)., un document du CCIA dénonçant des dangers d'un système monopolitaire.
- ^ (in English) vnunet.com annonce l'évolution de Slapper en septembre 2002.
- ^ (in English) vnunet.com annonce l'évolution de Slapper en septembre 2002.
- ^ Bruce Schneier, 3 mai 2007 : « [...] les produits et services informatiques ne sont pas naturellement sûrs. »
- ^ Bruce Schneier, 3 mai 2007 : « [...] les produits et services informatiques ne sont pas naturellement sûrs. »
- ^ Site recensant les failles de Linux.
- ^ (in French) Actualités ZDNET du 11 janvier 2006