Dans cet article Techworld tente une analyse des statistiques sur les vulnérabilités des différents OS publiées par l'entreprise danoise Secunia. Et bien evidemment Techworld se risque à des comparaisons: Window XP Pro a été touché par 46 alertes de sécurité en 2003-2004 alors que pendant la même période, la Red Hat Enterprise Server devait subir 48 alertes. Alors quoi ? Windows XP Pro n'est pas autant troué que ses détracteurs aimeraient le faire croire ? La sécurité de Linux n'est en fait qu'une réputation surfaite ?

Comme je l'avais déjà évoqué dans un ancien billet comment tenter de comparer ce qui n'est pas comparable ?

En effet en regardant plus prêt la liste des failles de sécurité de part et d'autre, on s'appercoit que beaucoup de faille du côté de Windows XP Pro viennent du coeur du système ou du shell graphique (en vrac et sans préférence : Microsoft Windows Unauthorised Thread Termination , Microsoft Windows TCP Packet Information Disclosure ou encore Microsoft Windows RPCSS Service DCOM Interface Vulnerabilities). Ces vulnérabilités touchent donc directement des parties importantes du système.

Si on se penche sur le cas Red Hat Enterprise Linux on trouve certe des alertes de sécurité sur le noyaux linux, la glibc, des composants essentiels du système (pas facile de faire tourner un OS sans noyau :). Mais on trouve aussi dans cette liste beaucoup de failles relatives à des applicatifs tournant sur cette RedHat, comme par exemple CVS ou Apache. Alors au final comme tirer des conclusions sur deux systèmes n'offrant pas le même type de service ? Comment comparer un Windows XP Pro, qui n'est qu'un système d'exploitation pour poste de travail (sans dénigrement aucun), avec une RHES qui est un système d'exploitation serveur concu pour faire tourner des services et des applicatifs pour l'entreprise (Mail, Http, Proxy, Impression, Backup et j'en passe). Peut être Techworld aurait mieux fait de comparer la Red Hat avec un Windows 2000 ou 2003 Server. Là, la comparaison aurait presque voulu dire quelque chose, et encore, puisque la Red Hat fourni un très grand nombre de services par défaut.

Il est maintenant facile de faire dire ce que l'on veut aux chiffres, par exemple que Linux est moins fiable que Windows puisqu'il a connu 2% de failles extrémenent (extremely) graves, alors que Windows XP n'en connaissait aucune. C'est marrant les statistiques quand même.

Les statistiques sur Mac OS X sont par contre moins marrante, plutôt étonnantes voir effrayantes. Je n'avais pas pris mesure du niveau des vulnérabilités sur ce systèmes (erreurs de jeunesse ?). Sur la période 2003-2004, 36 alertes de sécurité ont été publiées, ce qui est relativement faible, par contre le niveau de criticité reste alarmant, puisque 19% des failles sont considérées comme extrémement dangereuses. Ma conclusion, il est vrai bien rapide et teintée de mon mépris pour la marque à la pomme, est qu'il ne suffit pas de se baser sur un Unix pour faire les choses proprement.