Hong Kong – À l’occasion de l’Open Source Summit China, Greg Kroah-Hartman, responsable du noyau stable de Linux, a dit qu’en moyenne par semaine, l’équipe de sécurité de Linux publie soixante – 60 – bulletins de sécurité CVE (Common Vulnerabilities and Exposures, ou vulnérabilités et expositions communes). Ne vous inquiétez pas. C’est la vie quotidienne sous Linux.
Mais tout d’abord, voici quelques mots sur Linux et les CVE. Linux fait tourner le monde. Il se trouve sur votre smartphone Android, dans votre climatiseur, sur le web, sur les superordinateurs, dans le cloud et peut-être même sur votre PC. Et même les iPhones, qui l’utilisent pour la 4G et la 5G.
Les CVE recensent les problèmes de sécurité des logiciels.
L’Union européenne impose des changements
En février 2024, l’équipe de développeurs du noyau Linux a pris en charge l’attribution des CVE pour le noyau Linux. Elle l’a fait parce que de nouvelles réglementations gouvernementales, telles que celles de l’Union européenne, exigeaient que les projets open-source assument la responsabilité des vulnérabilités connues.
En outre, comme l’explique Greg Kroah-Hartman, à l’époque le « système CVE était défaillant à bien des égards… ce changement nous permet d’assumer une plus grande responsabilité à cet égard et, espérons-le, d’améliorer le processus au fil du temps ». Il a également veillé à ce qu’aucun autre groupe ne puisse attribuer des CVE Linux sans que les développeurs Linux aient leur mot à dire.
Attendez. 60 CVE par semaine concernant des problèmes susceptibles d’arrêter net votre ordinateur, n’est-ce pas quelque chose d’inquiétant ? Eh bien, oui. Mais non.
L’équipe du noyau Linux n’a pas la moindre idée de la portion de code que vous utilisez
Greg Kroah-Hartman explique qu’aujourd’hui, le noyau Linux compte « 38 millions de lignes de code ». Vous n’en utilisez qu’une petite partie. Mon ordinateur portable utilise environ un million et demi de lignes de code…. Votre smartphone, la bête la plus complexe qui soit, utilise environ 4 millions de lignes de code. Donc, sur l’ensemble, vous n’utilisez qu’une petite partie. Mais tout le monde utilise une partie de code différente. Et c’est une chose importante dont il faut se souvenir.
L’équipe du noyau Linux n’a pas la moindre idée de la portion de code que vous utilisez. Son travail consiste à produire le code de base que tout le monde utilise. Chacun ayant sa propre configuration et son propre cas d’utilisation.
Greg Kroah-Hartman a cité Ben Hawkes, expert en sécurité informatique, hacker « white hat » et ancien responsable du Projet Zero de Google, qui résume bien la situation : « CVE n’est pas un bon moyen de saisir les nuances de l’écosystème du noyau Linux. Il est difficile de saisir le fait qu’un bug peut être très grave dans un type de déploiement, quelque important dans un autre, ou pas grave du tout. La correction des vulnérabilités est difficile ».
Dès qu’un correctif est disponible, il est intégré dans les versions hebdomadaires du noyau stable
C’est la raison pour laquelle tant de CVE sont publiés à un rythme aussi effréné. En effet, compte tenu de la diversité des systèmes et des cas d’utilisation, tout bug peut être un bug de sécurité. Comme l’a dit un jour Linus Torvalds, « les problèmes de sécurité ne sont que des bugs ».
J’ajouterais que les membres de l’équipe de sécurité du noyau sont réactifs. Ils répondent aux bugs et aux vulnérabilités signalés. Puis ils trient les rapports de bugs entrants, déterminent s’il existe un problème de sécurité et travaillent avec les responsables concernés pour corriger le bug. Mais ils ne cherchent pas de bug.
Dès qu’un correctif est disponible, il est intégré dans les versions hebdomadaires du noyau stable, qui sont mises à la disposition des utilisateurs dès que possible. Il appartient aux utilisateurs de tester et de déterminer si un problème particulier affecte leur cas d’utilisation spécifique.
Il faut mettre à jour le noyau presque toutes les semaines
Ces versions stables incluent des corrections de bugs et des problèmes de sécurité reportés depuis le noyau principal. L’équipe s’appuie sur une large communauté de testeurs, composée d’entreprises et de particuliers, pour garantir leur stabilité et leur sécurité.
Ce que vous pouvez faire pour assurer la sécurité de votre système – qu’il s’agisse d’une voiture ou de 10 000 serveurs dans un centre de données – est simple. La règle de Greg Kroah-Hartman est la suivante : « Si vous n’utilisez pas le dernier système de noyau stable/à long terme, votre système n’est pas sûr ».
Il entend par là qu’il faut mettre à jour le noyau presque toutes les semaines. Pour la plupart d’entre vous, cette notion est évidemment aussi effrayante que de traiter 60 CVE par semaine.
Des exemples de mise à jour régulière
Le fait est que, selon M. Kroah-Hartman, « nous avons la preuve que c’est possible ».
- Debian fait tourner plus de 80 % des serveurs dans le monde et utilise des mises à jour stables du noyau.
- Android, qui compte des milliards d’appareils, utilise toutes les mises à jour stables du noyau avec un décalage de deux mois. Mais ils gardent leurs appareils sécurisés.
Il espère qu’à terme, tout le monde commencera à utiliser les noyaux Linux stables, rapidement mis à jour mais toujours plus sûrs. Les gens, conclut-il, « pensent que l’absence de changement est synonyme de stabilité. Mais ce n’est vrai que si le monde autour de vous ne change pas. Certaines banques ont des mainframes qui ne se connectent jamais au monde extérieur. Merveilleux. Dans le cas contraire, si vous êtes connecté et que le monde change, vous avez intérêt à mettre à jour ».
En résumé, ne vous laissez pas impressionner par le volume des CVE. Veillez simplement à vérifier que rien dans le dernier lot n’affecte votre installation. La plupart du temps, ce n’est pas le cas. Pour être vraiment en sécurité, commencez à mettre à jour votre noyau Linux bien plus souvent que la plupart d’entre vous ne le font aujourd’hui.
Source : « ZDNet.com »