Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

La sécurité et l'Open Source


Introduction


Depuis Linus Torvalds et son système Linux, l'Open Source s'est considérablement développé. Mais qu'est-ce que l'Open Source ? C'est le fait de rendre public le code source d'un logiciel. L'Open Source est régi par un ensemble de licences, dont la plus connue est la GNU Public License. Ce code source n'est donc plus la possesion privée d'une personne, d'un groupe de personne, ou d'une société, comme c'était le cas depuis la naissance de l'informatique dans les années 60, jusque dans les années 80/90. Les plus grandes entreprises emboitent actuellement le pas des développeurs indépendants et proposent à leur tour des logiciels de qualité professionnelle en Open Source. Mais derrière cet effervescence intellectuelle, quelles sont les conséquences, en matière de sécurité, pour les projets Open Source ?

Les avantages



Relectures multiples du code



Qu'il soit étudiant, professionnel, ou tout simplement amateur et quelque soit son niveau, ses méthodes, sa culture, sa nationalité, le programmeur a accès au code. Il peut donc le relire pour le comprendre et anticiper le debuggage. De ces lectures croisées de nombreux bugs sont décelables. Parmi ces bugs, il y en a certainement qui touchent directement la sécurité du logiciel, comme les buffers overflow. On appelle cela des trous de sécurité applicatif.

Réactivité de l'open source



Un autre avantage de l'open source est le fait que la communauté réagisse plus rapidement dans la correction d'un bug. Cela arrive même fréquemment que le programmeur qui découvre un bug propose aussi le patch qui permette de le corriger, lorsque l'information est rendue publique. Les sociétés traditionnelles de logiciel mettent plus de temps car leur structure est plus hiérarchisée, plus grosse et donc moins réactive.

Les inconvénients



Relectures multiples du code



La relecture multiple du code permet de détecter un plus grand nombre de trous de sécurité dans un logiciel. Par contre, il serait naïf de penser que tous les trous de sécurité sont vus ! Les logiciels sont de plus en plus complexes et certains dépassent même la vision que peut avoir un programmeur de l'ensemble du logiciel. C'est le cas de Linux : Les programmeurs se cantonnent à écrire des patchs, au mieux des modules, et rares sont ceux qui ont une vision globale de tous les morceaux de code que composent le kernel Linux. Si on ajoute à cela qu'il existe un noyau Linux pour chaque OS, et que chaque OS a un comportement différent en matière de sécurité dans la programmation...
De surcroit, à l'échelle de tous les programmeurs dans le monde, il existe peu de personnes qualifiées pour faire une relecture de code open source, à la recherche de trous de sécurité. Il est donc tout à fait concevable qu'un trou de sécurité existe dans un logiciel open source et que personne ne le découvre avant des mois, voir des années.

L'open source est... Open !



Le fait de mettre le code accessible à tout le monde est risqué : Si une personne découvre un trou de sécurité, rien ne l'empêche de le garder pour lui en vue d'en tirer un profit quelconque. Un trou de sécurité ne peut être corrigé que s'il est connu. Donc tant que des hackers gardent leurs informations pour eux, le logiciel cible ne sera pas corrigé. Et cela peut prendre des mois, voir des années comme cela a été le cas avec la vulnérabilité Heartbleed, qui touchait OpenSSL. Cette faille a été découverte en avril 2014, mais était active depuis décembre 2011.

Conclusion


Tout le monde sait que baser la sécurité sur un programme propriétaire n'est pas sécurisant : N'importe quel hacker peut désassembler le code jusqu'à comprendre comment la protection est faite. C'est un fait. C'est pourquoi l'open source est généralement considéré comme plus sécurisant qu'un code propriétaire. Comme nous l'avons vu, il n'en est rien. Le seul fait qui aille dans le sens de l'open source, c'est qu'un bug de sécurité est en général plus rapidement découvert, et donc plus rapidement corrigé.

Arnaud Jacques
03 Décembre 2001

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités.
Twitter SecuriteInfo.com
Facebook SecuriteInfo.com
BOINC calcul scientifique
© 2004-2016 - Tous droits réservés - SecuriteInfo.com