NON, LES LOGICIELS OPEN SOURCE NE SONT PAS PLUS VULNERABLES


Avoir un logiciel dont le code est en libre accès n’est pas plus dangereux qu’un logiciel dont le code est gardé secret.

Actualités, Antivirus // 09/06/2015

Dans une récente tribune publiée sur le site du journal Britannique The Guardian, Richard Stallman s’en est donné à cœur joie contre les logiciels propriétaires. Le père fondateur du système d’exploitation libre GNU (aujourd’hui utilisé pour la plupart des distributions Linux) a même qualifié OS X et iOS de malware. Il dénonce notamment la pratique consistant à développer des malware propriétaires, de camoufler des malware derrières des applications faites à priori pour rendre service et l’installation de portes dérobées (virus type backdoor) dans les systèmes d’exploitation pour smartphones.

Au-delà de la polémique, cette tribune soulève une question intéressante pour le monde de l’entreprise : les logiciels libres et Open Source sont-ils plus sûrs que les logiciels propriétaires ?

PROPRETAIRE, OPEN SOURCE ET LIBRE

Mais avant, une petite distinction s’impose. Un logiciel propriétaire est un logiciel développé par une entreprise dont on peut simplement exécuter le code, c’est-à-dire l’utiliser. Comme la suite Office par exemple, Windows ou encore Mac OS (même si ce dernier est partiellement construit sur un noyau UNIX). Pour être qualifié de « libre » un logiciel doit être développé par une « communauté » et remplir 4 critères. Les utilisateurs doivent pouvoir :

  1. Exécuter le code (utiliser le logiciel)
  2. Avoir libre accès au code
  3. Modifier le code pour l’améliorer
  4.  Republier les modifications apportées au code pour les partager à la communauté (obligatoire)

Quant aux logiciels Open Source, ils ont les mêmes critères que les logiciels libres, à la différence près qu’il n’est pas obligatoire de publier les modifications apportées au code. Un développeur peut donc améliorer le logiciel et protéger son travail pour le commercialiser tout en précisant que des pans du code sont sous licence Open Source / Libre. Outre l’aspect purement « technique » ce sont donc trois philosophies distinctes.

REACTIVITE & AMELIORATION CONTINUE

Pour en revenir à la sécurité, une grande majorité des experts de la sécurité informatique doivent leur existence à la prédominance des logiciels propriétaires. Comme les failles ne sont pas connues du grand public mais qu’elles le sont par les cybercriminels (grâce à la rétroingénierie) il est nécessaire d’utiliser des technologies tierces pour ne pas être infecté et notamment un antivirus. Jusqu’à ce que le correctif soit apporté par l’entreprise propriétaire du logiciel.

Pour le monde de l’Open Source et des logiciels libres, la problématique n’est pas la même. Comme le code est amélioré en continu, les cybercriminels ont peu de temps pour exploiter des failles, celles-ci étant patchées par la communauté (éditeur, développeur indépendant, …) avant d’être réellement déployées à grande échelle. Effectivement, il faut avoir confiance en la communauté, puisque c’est elle qui décide de ce à quoi ressemble le logiciel et ce qu’il intègre. Mais comme celle-ci est attachée et sensible aux notions d’anonymat, de sécurité et de protection de la vie privée, les logiciels s’autorégulent.

Et puis, si ce n’était pas un minimum sûr, la Maison Blanche n’aurait probablement pas choisit Drupal pour développer son site Internet en 2009.

LA DIFFICILE IMPLANTATION DE L’OPEN SOURCE

Bien qu’ils présentent des avantages non négligeables en termes de contrôle des données et de sécurité, les logiciels libres ou Open Source restent marginaux dans les entreprises. Microsoft est tellement bien implanté dans le milieu professionnel qu’une transition vers des environnements Open Source entrainerait inévitablement une perte de productivité chez les utilisateurs. Même si certains logiciels libres ou Open Source ont fait des efforts pour coller à l’ergonomie des standards du marché, la plupart nécessiterait de réapprendre à les utiliser.

De plus, certains logiciels métiers, type CRM ou ERP, ne tournent pas sous des systèmes d’exploitation trop « exotiques » et n’ont pas toujours d’équivalent Open Source ou libre. Enfin, comme les remontées utilisateurs sont plus importantes chez les éditeurs de solutions propriétaires, les améliorations sont généralement plus fréquentes. Même si ces propos sont à modérer si on prend l’exemple de Firefox (la gestion des plugins surtout) et certaines implémentations iOS issues du monde du jailbreak.

COMMENT INTEGRER L’OPEN SOURCE EN ENTREPRISE ?

Alors malgré ces contraintes, comment faciliter l’arrivée de solutions libres ou Open Source en entreprise ? Plusieurs méthodes :

  • Initier une transition vers des solutions libres ou Open Source transparentes pour les utilisateurs comme les systèmes d’exploitation pour les serveurs (souvent déjà le cas selon le rôle du serveur et couplé à des solutions server Microsoft).
  • Profiter des fins de support des logiciels ou systèmes d’exploitation pour tester ces solutions à petite échelle.
  • Migrer une bonne partie du parc informatique vers des systèmes d’exploitation libres ou Open Source, couplés avec un émulateur permettant soit de retrouver une interface Windows, soit de faire tourner des applications uniquement compatibles Windows.
  • Décider d’adopter ces solutions dès la création de l’entreprise pour les intégrer aux habitudes des utilisateurs et collaborateurs.

Bien évidemment, les logiciels Open Source et libres ne sont pas obligatoires pour être bien protégé. Les propos de Richard Stallman sont évidemment à tempérer : les logiciels propriétaires ne sont pas les ennemis de la sécurité informatique. Néanmoins, si vous voulez continuer d’utiliser vos logiciels en toute tranquillité, assurez-vous d’être bien protégés, quels que soient les terminaux. Il ne faudrait pas tenter le diable non plus.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s