in

Les développeurs Ubuntu disent que Linux Mint n’est pas sécurisé. Ont-ils raison?

Linux Mint n’est pas sécurisé, selon un développeur Ubuntu employé par Canonical qui dit qu’il ne ferait pas ses opérations bancaires en ligne sur un PC Linux Mint. Le développeur allègue que Linux Mint «pirate» des mises à jour importantes. Est-ce un vrai problème ou simplement de la peur?

Le développeur Ubuntu impliqué s’est trompé sur certains faits et a endommagé son propre cas, mais il y a encore un vrai argument à avoir ici. Ubuntu et Linux Mint traitent les mises à jour de différentes manières, et chacun a ses propres compromis.

Allégations d’un développeur Ubuntu

Oliver Grawert, un développeur Ubuntu employé par Canonical, a commencé la guerre verbale avec ce message sur la liste de diffusion des développeurs Ubuntu. Dans ce document, il a déclaré que les mises à jour de sécurité «sont explicitement piratées de Linux Mint pour Xorg, le noyau, Firefox, le chargeur de démarrage et divers autres paquets».

Il a fourni un lien vers le fichier de règles Mint Update, indiquant qu’il s’agit d’une «liste de paquets [Mint] ne sera jamais mis à jour. » C’est incorrect – le fichier fait quelque chose de plus compliqué que cela, mais nous y reviendrons plus tard. Il a poursuivi: «Je dirais de garder avec force un navigateur noyau vulnérable ou xorg en place au lieu de permettre aux mises à jour de sécurité fournies d’être installées [sic] en fait un système vulnérable… Personnellement, je ne ferais pas de banque en ligne avec;) ».

Certaines de ces allégations sont totalement fausses. Il est vrai que Linux Mint bloque les mises à jour pour les packages tels que le serveur graphique X.org, le noyau Linux et le chargeur de démarrage par défaut. Cependant, ces mises à jour ne sont pas «piratées hors de Linux Mint», comme nous le montrerons plus tard. Linux Mint ne bloque pas non plus les mises à jour de Firefox. Les mises à jour du navigateur Web Firefox sont importantes pour la sécurité du monde réel et sont autorisées par défaut, de sorte que les allégations de ce développeur Ubuntu sont hors sujet. Cependant, il y a toujours un vrai argument ici – Linux Mint bloque certains types de mises à jour de sécurité par défaut.

Réponse de Linux Mint

Le fondateur et développeur principal de Linux Mint, Clement Lefebvre, a répondu à ces accusations avec un article de blog. Dans ce document, il souligne que le développeur Ubuntu s’est trompé sur les allégations que nous avons expliquées ci-dessus. Il clarifie également la raison pour laquelle Linux Mint a exclu les mises à jour pour certains packages par défaut:

«Nous avons expliqué en 2007 quelles étaient les lacunes de la façon dont Ubuntu recommande à ses utilisateurs d’appliquer aveuglément toutes les mises à jour disponibles. Nous avons expliqué les problèmes associés aux régressions et nous avons mis en place une solution dont nous sommes très satisfaits. »

Firefox est automatiquement mis à jour par Linux Mint, tout comme par Ubuntu. En fait, les deux distributions utilisent le même package qui provient du même référentiel.

L’argument principal de Linux Mint est que la mise à jour «aveugle» de paquets comme le serveur graphique X.org, le chargeur de démarrage et le noyau Linux peuvent causer des problèmes. Les mises à jour de ces packages de bas niveau peuvent introduire des bogues sur certains types de matériel, tandis que les problèmes de sécurité qu’ils résolvent ne sont pas réellement un problème pour les personnes qui utilisent Linux Mint à la maison. Par exemple, de nombreuses failles de sécurité dans le noyau Linux sont des vulnérabilités d ‘«élévation des privilèges locaux». Ils peuvent permettre aux utilisateurs ayant un accès limité à l’ordinateur de devenir l’utilisateur root et d’obtenir un accès complet, mais ils ne peuvent pas être facilement exploités à partir d’un navigateur Web comme le pourrait un problème de sécurité typique en Java.

Est-ce vraiment un problème?

Les deux parties ont de bons arguments. D’une part, il est absolument vrai que Linux Mint désactive par défaut les mises à jour de sécurité pour certains paquets. Cela laisse un système Mint avec des vulnérabilités de sécurité plus connues, qui pourraient théoriquement être exploitées.

D’un autre côté, il est vrai que ces vulnérabilités de sécurité ne sont pas activement exploitées. Linux Mint met à jour les logiciels qui sont réellement attaqués, comme les navigateurs Web. Il est également vrai que les mises à jour de X.org ont causé des problèmes dans le passé. En 2006, une mise à jour d’Ubuntu a cassé le serveur X de nombreux utilisateurs d’Ubuntu qui l’ont installé, les forçant à entrer dans le terminal Linux. Les utilisateurs concernés ont dû réparer leurs systèmes à partir du terminal. La politique de Linux Mint sur les mises à jour a été énoncée juste un an plus tard en 2007, il est donc probable que cet épisode ait affecté la position actuelle de Linux Mint.

Si vous êtes un utilisateur de bureau à domicile, vous ne serez probablement pas compromis à cause d’une faille dans le noyau Linux. Bien entendu, si vous exécutez un serveur exposé à Internet ou exploitez un poste de travail professionnel auquel vous souhaitez restreindre l’accès, vous devez vous assurer que toutes les mises à jour de sécurité possibles sont installées.

Contrôle des mises à jour de sécurité dans Linux Mint

Tout utilisateur de Linux Mint qui préfère avoir toutes les mises à jour de sécurité que les utilisateurs d’Ubuntu obtiennent peut les activer à partir du gestionnaire de mise à jour de Mint. Ces mises à jour ne sont pas «piratées», mais sont simplement désactivées par défaut.

Pour contrôler ce paramètre, ouvrez l’application Update Manager à partir du menu de votre environnement de bureau. Cliquez sur le menu Edition et sélectionnez Préférences. Vous pourrez alors choisir les «niveaux» de packages que vous souhaitez installer. Les «niveaux» sont définis dans le fichier de règles de mise à jour de Mint que nous avons mentionné précédemment. Les niveaux 1 à 3 sont activés par défaut, tandis que les niveaux 4 à 5 sont désactivés par défaut. Firefox est un package de niveau 2, mis à jour par défaut. X.org et le noyau Linux sont respectivement de niveau 4 et 5, ils ne sont donc pas mis à jour par défaut.

Activez les niveaux 4 et 5 et vous obtiendrez les mêmes mises à jour que dans Ubuntu – provenant des propres référentiels de mise à jour d’Ubuntu – mais vous serez plus à risque de «régressions» qui introduisent des problèmes.

Le vrai désaccord ici est d’ordre philosophique. Ubuntu se trompe du côté de la mise à jour de tout par défaut, éliminant toutes les vulnérabilités de sécurité possibles – même celles qui sont peu susceptibles d’être exploitées sur les systèmes des utilisateurs à domicile. Linux Mint se trompe en excluant les mises à jour qui pourraient potentiellement causer des problèmes.

La solution que vous préférez dépendra de l’utilisation que vous faites de votre ordinateur et de votre degré de maîtrise des risques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ajoutez facilement OpenDNS à votre routeur

Ajoutez facilement OpenDNS à votre routeur

Qu'est-ce que la stabilisation d'image et comment fonctionne-t-elle?

Qu’est-ce que la stabilisation d’image et comment fonctionne-t-elle?