Il arrive régulièrement que soient publiés des rapports sur la sécurité par des entreprises qui vendent des antivirus ou de l'information sur la sécurité informatique. Ces rapports sont destinés à générer de la couverture presse, pour faire connaître l'entreprise et ses services. Souvent, ils laissent entendre qu'on découvre plus de trous de sécurité dans les logiciels libres que dans leurs équivalents propriétaires.
L'open source est-il donc par nature moins sécurisé ? Pas du tout ! Mais les apparences sont trompeuses. Commençons par rappeler que tous les logiciels complexes, libres ou pas, ont des trous de sécurité tout simplement parce que l'esprit humain n'arrive pas à produire du code parfait. A ce titre, open source et propriétaire sont à égalité.
Comment se fait-il alors que les chiffres soient si favorables aux logiciels propriétaires ? La raison est que la façon de mesurer la sécurité des logiciels repose sur le comptage des bogues publiés, et qu'il s'agit d'une méthode biaisée. Je m'explique. Quand un projet communautaire découvre un bogue de sécurité dans le logiciel, il le corrige aussi vite que possible, souvent en gardant confidentielle les informations concernant le problème tant que la version corrigée n'est pas dans les mains des utilisateurs.
Une fois le danger écarté, l'information est publiée, tout simplement parce que les cachotteries sont mauvaises pour la collaboration au sein de la communauté, où la transparence est la règle. Le secret pousserait à la suspicion et, donc, à une collaboration moins efficace.
Le silence du monde propriétaire
Dans le monde du logiciel propriétaire - et parfois celui de l' open source fait par une société qui a le culte du secret -, la transparence est une exception, le silence la règle. Si on trouve en interne des trous de sécurité, on va les corriger silencieusement, sans rien dire aux clients. Ces trous existent, mais on ne communique pas dessus et ils n'apparaissent pas dans les rapports, donnant ainsi une fausse impression de sécurité.
Pire, le fait qu'ils ne soient pas publics font que l'entreprise qui gère le projet n'a pas d'incitation à les corriger rapidement, contrairement aux projets qui opèrent dans la transparence. On se retrouve ainsi dans un cas où les problèmes perdurent plus longtemps et dont les victimes potentielles ne sont pas informées.
A l'inverse, dans un projet libre communautaire, la transparence fait que les problèmes doivent être traités rapidement (sinon tout le monde peut constater l'incompétence des responsables), ce qui fait qu'on sait à quoi s'en tenir.
Aussi, la transparence du développement a bien un coût médiatique (on compte plus de rapports de bogues de sécurité), mais un bénéfice en terme de sécurité, car l'exposition aux problèmes de sécurité est plus courte. Pour une entreprise, dont la DSI se doit d'avoir un système d'information sécurisé pour maintenir l'intégrité des opérations, nul doute que la transparence est la bonne solution. Ne dit-on pas qu'un homme averti en vaut deux ? C'est sûrement aussi vrai pour les DSI !
Tristan Nitot est une personnalité emblématique du monde de l' open source. Il est le fondateur et actuel président de Mozilla Europe, connu pour son navigateur Web Firefox. Il est également un des initiateurs d'Openweb.eu.org, projet de documentation libre qui vise à promouvoir les standards du Web et l'accessibilité en vue de rendre le Web utilisable par tous.
Tristan Nitot, qui a mené une partie de sa carrière chez Netscape, est également blogueur depuis 2002 sur Standblog.org.
Auteur : Tristan Nitot (Mozilla), 01net.
Continuer avec Linkedin