Open source ou close source, la sécurité par l’obscurantisme

10/10/2015 | Lemmy Killmonsters

Quand on fait un programme, il y a deux possibilités. On donne les sources afin qu’elles puissent être analysées ou on garde le tout secret.

En exemple concret on peut citer Linux pour le premier et Microsoft pour le second.

  • Alors quelle solution est la meilleure ?

Réponse courte: aucune.
Voilà fin de l’article, merci d’être venu.

Bon OK, on va faire la version longue.
Dans un cas comme dans l’autre il y a une histoire de confiance.

  • Cas un : je partage les sources.

Soit tout le monde se dit : « Les autres ont du corriger les failles » soit quelqu’un aura bien l’idée de les lire.
Si personne ne les consulte, alors le partage n’aura servi à rien.
En revanche si elles sont lues, là encore deux possibilités.

Si la personne est gentille : elle signale la faille, voir même fournit le correctif.
Si la personne est « méchante » : elle utilise la faille.

  • Cas deux : je garde tout secret.

Ici pas le choix, on fait confiance et on espère que les programmeurs ont bien bossés.
On recevra donc uniquement les mises à jour avec explication du correctif (et encore, si ce n’est pas un « améliore la sécurité ») dans le meilleur des cas, et dans le pire ont lira un article d’un chercheur exaspéré qui fuitera une faille.

  • Dans un cas comme dans l’autre…

Il faut faire confiance, soit à l’éditeur, soit aux utilisateurs.
Les deux systèmes ont connu des failles.

Microsoft nous le prouve quasi quotidiennement, mais pour sa défense il doit aussi couvrir un parc très varié de hardware et de software.

De l’autre côté la « récente » faille découverte sur Mac OS X 10.9.1 était dût à une erreur d’écriture sur du code libre. (On passera sur le fait que ça veuille dire que Apple — entre autres — ne relit pas du code aussi crucial.)

  • Personnellement :

Je lis du code libre rarement, parce que je ne suis pas très bon mauvais développeur (je serais capable de relever des erreurs là où il n’y en aurait pas).
En revanche je sais que je préfère faire confiance à un logiciel visible par tous.

Souvent la traçabilité est bien meilleure (par exemple sous Fedora j’avais un problème avec le yum update, j’ai trouvé directement le pourquoi et corriger <troll> en installant Debian </troll> ; alors que sous Windows j’ai 14 mises à jour et une qui bloque à 32 %, mais pas d’information, et ensuite si je veux l’adapter à mes besoins j’ai directement accès à tout.

Maintenant il faut aussi relativiser, une entreprise préfère parfois utilisé un logiciel aux sources fermées, car en cas de problème elle se défausse directement à coup de « Comment je pouvais le savoir !? ».

Et vous, vous préférez quelle solution ? Est-ce qu’elle dépend de votre utilisation/logiciel souhaitée ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

A propos de

Derniers articles (10) de