Les chiffres semblent sans appel : Linux, toutes distributions confondues, aurait souffert de 96 vulnérabilités les huit premiers mois de 2001, tandis que Windows NT et 2000 n’en auraient vus que 46. Pour l’année 2000, l’écart est tout aussi flagrant avec 150 failles publiées pour Linux contre 100 pour Windows. La piètre réputation de Microsoft en matière de sécurité serait-elle un mythe ? Pas forcément.Tout d’abord, la méthode de décompte des failles pour les deux systèmes s’apparente au dépouillage d’élections municipales en Amérique du Sud (les esprits chagrins diraient à Paris).Linux est en effet constitué d’un noyau unique et d’une série d’applications standards (GNU ). L’ensemble est repris par les éditeurs de chaque distribution, qui les packagent comme ils le souhaitent et en facilitent l’installation. Une faille dans le noyau ou les utilitaires GNU se retrouverait donc dans plusieurs distributions, puisque toutes utilisent la même base. Dans le décompte de Bugtraq cependant, elle sera comptée plusieurs fois. L’on retrouve ainsi 28 vulnérabilités pour Linux Red Hat 7.0 et 33 vulnérabilités pour Mandrake 7.2, pour un total de soixante et une failles. Mais ces deux distributions sont virtuellement identiques, et l’ensemble des vulnérabilités de la version Red Hat sont très certainement comptées de nouveau dans celles de Mandrake.Mais il y a pire : les failles de sécurité touchent rarement le système d’exploitation lui-même, mais plutôt les applications qu’il héberge. Chaque application installée représente une faille potentielle. Et en matière d’applications, Linux est champion. Tandis qu’une installation de Windows n’offre rien en dehors d’une calculatrice et d’un jeu du démineur, Linux propose d’emblée plus de 2000 packages : plusieurs suites bureautiques, des outils graphiques du niveau de Photoshop, des logiciels de création web à la Dreamweaver, ainsi que tous les serveurs imaginables (Web, FTP, DNS, etc), souvent en plusieurs exemplaires. Tout cela est offert dès l’installation, et il est possible de tout choisir. Dans ces conditions, la probabilité de découvrir une faille dans une obscure application augmente de façon exponentielle.Il nous paraît ainsi plus juste de refaire le décompte en supprimant les failles identiques qui toucheraient plusieurs distributions, et en ne comptant que celles concernant le noyau de Linux et les applications équivalentes à celles présentes sur une installation par défaut de Windows NT ou 2000. Les résultats seraient alors très certainement inversés.Des volontaires pour recompter ?