News: 2023-02-09T07_17_04Z

  ARM Give a man a fire and he's warm for a day, but set fire to him and he's warm for the rest of his life (Terry Pratchett, Jingo)

Les logiciels libres aussi sûrs que les logiciels propriétaires ?

(2023/02/09)


Les logiciels libres aussi sûrs que les logiciels propriétaires ?

jeudi 9 février 2023

Sur le blog d’Ubuntu, Canonical évoque la multiplication des violations de données et la menace des ransomwares pour évoquer une question : l’open source est-il plus sûr que le logiciel propriétaire en matière de sécurité. Voici ce qu’il faut en retenir.

[1]Le blog démarre sur un constat. Nous sommes harcelés par un nombre toujours croissant de mises à jour logicielles. La plupart de nos appareils utilisent des composants open source : en 2022, [2]Synopsys a constaté que sur 17 secteurs verticaux, 93 % des bases de code comprenaient des logiciels open source.

Les problèmes de sécurité que nous observons sont-ils donc liés à l’utilisation de logiciels libres ? Les logiciels propriétaires présentent-ils plus d’avantages inhérents en matière de sûreté ou de sécurité ? Pour Henry Coggill, la réponse courte est non. De plus en plus de failles de sécurité sont découvertes simplement parce qu’il y a plus de logiciels produits dans le monde que jamais auparavant.

Les logiciels libres présentent des vulnérabilités, tout comme les logiciels propriétaires ou à code source fermé, avec la même obligation de se tenir au courant des rapports de vulnérabilité, d’émettre des correctifs et de garantir la sécurité des utilisateurs. Coggill rappelle qu’il existe certaines bonnes pratiques à appliquer pour atténuer les risques.

Il évoque de nouveau le [3]rapport Synopsys de 2022, qui montre que 85 % des bases de code contenaient des sources ouvertes dépassées de plus de quatre ans. Que faire ? Qu’il s’agisse d’un code ouvert ou propriétaire, la mesure de sécurité la plus cruciale est l’application de correctifs et la mise à jour de ce logiciel. Conseil : consommer le logiciel d’une source de confiance qui fournit de solides engagements de maintenance de la sécurité .

« Cela vous permet, à vous et à vos clients, de rester à l’abri des menaces nouvellement découvertes. Si et quand des vulnérabilités sont découvertes, vous pouvez compter sur les experts pour les corriger avant que les attaquants ne puissent les exploiter. »

Conclusion : pour assurer la sécurité des systèmes, mieux vaut utiliser des logiciels qui sont activement maintenus et mis à jour, tout en « renforçant vos systèmes et en évitant qu’une petite faiblesse ne se transforme en un véritable cauchemar ».

Vous pouvez lire l’article de blog "Is open-source as secure as proprietary software ?" signé Henry Coggill dans son intégralité en anglais à [4]cette adresse .

[5]



[1] https://ubuntu.com/blog/does-open-source-software-have-the-same-safety-as-proprietary-software

[2] https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-2022.pdf

[3] https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-2022.pdf

[4] https://ubuntu.com/blog/does-open-source-software-have-the-same-safety-as-proprietary-software

[5] https://www.toolinux.com/?les-logiciels-libres-aussi-surs-que-les-logiciels-proprietaires#forum



Look Out! It's Microsoft Outlook

An old maxim in the Unix community states, "All programs expand until they
can read mail... except Microsoft Outlook." Well, that's no longer true.
By taking advantage of loopholes in several undocumented APIs, a team of
geeks were able to transform Outlook from a virus-delivery system into an
actual mail client.

"It was quite a feat to accomplish this," said one of the geeks. "I mean,
the rat's nest that is the Windows API can be used to frighten small
children... or adults. And the frequency by which Outlook exploits are
discovered is directly proportional to the number of times Bill Gates uses
the word 'innovation'. But this is the first time somebody has discovered
a beneficial exploit."

Microsoft has vowed to release a patch to fix the uncovered security
flaws. "We simply cannot tolerate unauthorized reverse engineering and
hacking of our innovative solutions. Our Security Response Team will pull
an all-nighter to eliminate these known issues."