Edition du 03/02/2005 - par Marc Olanié

Cri du coeur, mise au point, échos aux récents propos de Linus Torvalds, mais également bilan détaillé des mécanismes de « remontée de bug » en vigueur dans le monde du Libre : Jason Miller écrit dans le Security Focus un tonitruant « Linux Kernel Security is Lacking ». Sujet on ne peut plus à la mode.

Et de décrire un véritable parcours du combattant. Celui que doit suivre un chasseur de vulnérabilités ayant découvert une faille concernant l'ensemble des noyaux « Unix Like », tant dans le clan BSD que dans celui des Linux ou Solaris. L'on y parle de PaxTeam, de grsecurity, des ML traitant de sécurité au sein des courant Gnu-Linux, des méthodes scrupuleuses de Gentoo -donc nécessairement de l'impressionnant travail de Thierry Carrez relayé sur les principales ML-... la vie de « bug hunter du libre » n'est pas rose tous les jours. Mais, conclut Jason Miller, les choses changent, rapidement et dans le bon sens.

Maintenant que l'on est sur le point d'unifier les structures d'alerte et de correction de la partie « noyau », il serait peut-être temps de s'attaquer aux deux autres grandes causes de la sécurité du monde « Open » : celle des applications en général (qui ne dépend absolument pas des groupes « kernel ») et celle de la diffusion de l'information, encore excessivement disparate. Viendra ensuite la normalisation des mécanismes de déploiement de rustines et de pans de codes à recompiler. Mais au rythme où vont les discussions, les partisans des mondes Linux et BSD peuvent afficher un certain optimisme. Après tout, il a bien fallu 18 ans avant que Microsoft ne parvienne à véritablement standardiser ses procédures... et encore.