Blogue – Au cours des trente dernières années, le thème de la sécurité a été largement exploité par les équipes de marketing et de vente des éditeurs propriétaires pour mettre à mal les logiciels libres.
L’année dernière, beaucoup d’encre a coulé autour du bogue Heartbleed et plus récemment autour de Ghost. La réalité est que chaque logiciel, qu’il soit libre ou propriétaire, et quelle que soit la qualité de son code, a des failles. Le premier, de par la nature de sa licence, est transparent et révèle donc ses failles au grand jour. Le second, de peur d’être victime de mauvaise presse, est plus enclin à garder ce genre d’information à l’interne.
Force est de constater que la transparence du premier a un impact phénoménal sur sa capacité à réagir face à des failles de sécurité. Analysons en chiffres la réactivité des communautés lorsqu’elles ont dû s’organiser pour faire face à leurs menaces respectives :
- Heartbleed : la communauté de Linux a corrigé la faille en deux heures, alors que les éditeurs propriétaires exploitant également OpenSLL ont pris plus de quatre jours.
- Ghost : Red Hat a publié des patchs (versions provisoires en français) pour ces versions 5, 6 et 7 en moins d’une semaine.
Impressionnant et révélateur, n’est-ce pas?
Le fait que le code d’un logiciel soit libre a donc un impact positif sur son niveau de sécurité. Bien entendu, il y a une corrélation directe avec la taille de la communauté du dit logiciel. En effet, plus il y a d’yeux sur le code, plus il est sécuritaire. Toutefois, il serait illusoire d’affirmer que n’importe quel projet libre puisse se vanter d’une performance similaire. Plusieurs d’entre eux ont des communautés de tailles restreintes et peu dynamiques, d’où l’importance de bien évaluer un logiciel libre avant de vous lancer dans votre projet.
Il est également essentiel de souligner que ces failles ont mis au grand jour un problème sous-jacent, qui lui était alors bien réel. Certains projets libres incontournables étaient en manque de financement. En effet, ces projets étaient trop souvent pris pour acquis par les compagnies qui les exploitaient et qui les incorporaient dans leur offre de solution, et ce, sans verser ni de rétribution financière, ni de contribution en ligne de code.
Quelques exemples en chiffres :
- Werner Koch, qui est responsable du maintien de GNU Privacy Guard, opère avec un budget annuel de 25 000$;
- Harlan Sten, qui maintient le logiciel Network Time Protocol daemon, avait jusqu’à récemment un budget similaire au précédent;
- La levée de fond annuelle de la Fondation OpenSSL générait environ 2000$ par année.
Ces sommes semblent dérisoires lorsqu’on réalise à quel point ces logiciels sont exploités partout en entreprise.
Pour faire face à cela, la Fondation Linux a réuni les grandes puissances technologiques en créant la Core Infrastructure Initiative. Cette dernière a pour objectif de financer le développement et le maintient de briques logicielles libres critiques jusqu’à alors sous-financées (OpenSSL, OpenSSH et NTP).
L’initiative compte parmi ces membres Amazon Web Services, Cisco, Dell, Facebook, Google et plusieurs autres géants technologiques. Tous se sont engagés a faire des audits de sécurité continus et fourniront chacun une dote de 100 000$ au cours des trois prochaines années.
En conclusion, en combinant financement et réactivité, l’avenir est rose pour le logiciel libre. La sécurité ne devrait plus faire partie des arguments utilisés par les hommes de terrain des éditeurs propriétaires. Toutefois, si de tels propos vous sont tenus, partagez ces chiffres et observez la réaction.
Amusez-vous aussi à demander à cet individu pourquoi, selon lui, Microsoft libère aujourd’hui son langage de programmation .NET ou pourquoi Pivotal libère ses solutions phares?