L'interview pour la publication en ligne est un exercice hautement casse-gueule. Ca relève souvent de la mission
suicide pour l'interviewé. Dans le doute, mieux vaut faire soi-même les questions et les réponses.
Un exemple significatif de l'interview plombée est actuellement en ligne sur JDNet Solutions.
Dans le rôle de l'interviewé, le cabinet HSC (Hervé Schauer Consultants), ce qui se fait de mieux dans le
consulting dans le domaine de la sécurité en France. De très loin. On pourrait s'attendre à des réponses pertinentes
sur un sujet intéressant : "Pourquoi Linux est plus sûr...".
Grosse déception ! Les réponses (retravaillées ?) sont
une collection de banalités, de truismes et flirtent parfois avec le ridicule. L'exercice a des limites mais là,
même sous prétexte de vulgarisation, on frise la correctionnelle. Et pourtant, je le répète sincèrement, on a
affaire ici à des gens qui connaissent le sujet mieux que personne.
Exemples
de questions et d'extraits des réponses :
(commentaire en italique)
Question : Les systèmes de type Linux sont souvent considérés comme étant plus sûrs que les systèmes Microsoft.
Pourquoi ? Réponse : Les fonctionnalités de sécurité entre les systèmes Microsoft et Linux sont différentes.
Euh, oui merci. Elles sont aussi différentes entre les "systèmes Microsoft" eux-mêmes. So what ?
Réponse : une meilleure utilisation des possibilités par défaut sous Linux que sous Windows .
???? on parle de quoi ? J'ai beau relire cette phrase, je ne comprends pas de quoi il s'agit.
Réponse : une plus grand simplicité des fonctions de sécurité sur Linux par rapport à la complexité des systèmes
Windows : les permissions des fichiers (et l'authentification) sont de bons exemples.
C'est justement le plus mauvais exemple. C'est un domaine où Windows est supérieur à Linux. Pendant longtemps, la granularité des permissions sur
les fichiers dans l'environnement Windows NT (ou Netware) n'a pas eu d'équivalent chez les Unix.
Réponse : une meilleure mise en oeuvre sous Linux d'un point de vue vulnérabilités et une plus grande réactivité.
l'actualité récente sur Bind devrait inciter aujourd'hui à plus de prudence dans ce genre d'argumentation.
Et, off the record, attendez ce qui arrive bientôt :-))
Question : Quelles sont les principales applications Linux qui requièrent beaucoup d'attention en terme de sécurité
? Réponse : Ce sont celles qui sont accessibles depuis le réseau. Là encore, merci pour ce scoop ! Une application que l'on ne peut accéder depuis le réseau est en effet a priori
plus sûre !!!!
Question : On cite souvent les systèmes BSD, et particulièrement Open BSD comme étant très surs. Pourquoi ? Qu'en
est-il de Solaris, HP-UX et Irix ? Réponse : Solaris et HP-UX demeurent, et font l'objet d'un bon suivi de la part de leurs éditeurs. Mais ils ne
peuvent atteindre le niveau de sécurité des logiciels libres.
???? euh... ?
Question : Quels conseils donneriez vous pour une bonne gestion de la sécurité sous Linux ? Réponse : Il faut tout d'abord sécuriser son système
merci, il fallait y penser.
Question : Que pensez-vous du développement des virus sous Linux ? Et de l'infection de système par les outils DDoS
(type TFN, Trinoo, ...) ? Réponse : sous Unix les gens travaillent en tant qu'administrateur le moins souvent possible
On ne doit pas fréquenter les mêmes "gens"... J'ai toujours vu un gros (très gros) pourcentage d'administrateurs Unix
travailler systématiquement et quasi exclusivement en root. Et ne parlons pas des utilisateurs "standards" des
"Linux stations" ! Ce n'est pas parce que c'est souhaitable et répété que c'est vrai.
Synthèse caricaturale de l'article :
Question Pourquoi Linux est plus sûr ?
Réponse : Linux est sûr lorsqu'il est sécurisé euh... mais de toute
façon on préfère Open BSD. Mais il fallait tenir une page.
