La sécurité des Linux Red Hat et Mandrake souffrira Jerome Saiz le 17 février 2003 à 9h28, dans la rubrique Menaces Commentaires fermés sur La sécurité des Linux Red Hat et Mandrake souffrira linuxmandrakesécuritésouffrira Red Hat et Mandrake annoncent la fin du support gratuit et illimité pour leurs anciennes distributions. Passé un an, leurs systèmes ne pourront plus bénéficier gratuitement des mises à jour automatiques et autres correctifs simples à installer. Cela pourrait avoir de graves conséquences pour la sécurité d’une majorité des Linux installés à travers le monde. Le problème avec le Logiciel Libre, c’est que ca ne vieillit pas. Des dizaines de distributions de Linux antédiluviennes fonctionnent ainsi toujours parfaitement. On les retrouve au coeur de pare-feux, de passerelles ou de divers systèmes réseaux, et elles sont très souvent bâties autour d’une distribution Red Hat (y compris les produits Mandrake). Si ces installations sont rarement mises à jour, il était jusqu’à présent toujours possible de le faire en cas de nécessité en téléchargeant un package gratuit au format maison RPM. Et pour les administrateurs qui n’auraient pas même envie d’installer un package RPM (pourtant l’affaire d’une simple commande), Red Hat proposait aussi un service de mise à jour automatique par Internet, Up2date. Mais pressés par une situation économique difficile (Mandrake flirte avec le dépôt de bilan), Red Hat et Mandrake viennent d’annoncer qu’ils n’assureront désormais les mises à jour gratuites de leurs distributions que pendant un an (dix huit mois pour le coeur des distributions Mandrake, tel le noyau et le serveur web Apache). Cela signifie qu’il n’y aura donc plus de système de mise à jour simple, gratuit et testé par l’éditeur, pour les distributions Mandrake et Red Hat vieilles de plus d’un an. Linux reste libre Bien sûr personne ne possède des droits exclusifs sur Linux. Les mises à jour du système d’exploitation restent donc toujours gratuites pour qui sait y faire, quelle que soit la distribution : il suffit de se procurer les divers correctifs sous la forme de code source et de recompiler les applications concernées. Mais tout le monde ne peut s’offrir ce luxe. Le développement de Linux a donné naissance à des milliers de nouveaux utilisateurs qui n’ont pas du tout envie, ou sont incapables, de recompiler une application afin de corriger une faille de sécurité. Sans compter que la compilation peut prendre du temps et exige de re-tester la version corrigée avant de la mettre en production. Dans ces conditions, en l’absence de patch simple à installer, il est fort probable que les prochaines failles ne soient jamais corrigées sur les distributions de plus d’un an… c’est à dire la majorité du parc installé. Ce serait bien sûr une catastrophe pour Linux. Des milliers de serveurs, ou des postes de travail, seraient alors laissés à l’abandon et livrés aux scanners de vulnérabilités qui, eux, sont régulièrement mis à jour ! De nouvelles opportunités pour le Logiciel Libre Cependant, la réactivité de la communauté Open Source n’est plus à prouver. Une solution de mise à jour libre, indépendante des constructeurs, pourrait rapidement voir le jour. Elle pourrait s’appuyer sur des archives RPM créées par des passionnés, des clones de serveurs Up2date qui utiliseraient le protocole de Red Hat, ou encore tout simplement des serveurs d’archives .apt (le format de packages utilisé par Debian), qu’il serait possible d’utiliser sur les systèmes Red Hat et Mandrake grâce à l’éditeur Connectiva. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!