Linus Torvalds en a assez de tout ce « cirque sur la sécurité »
Linus Torvalds est particulièrement remonté contre le battage fait autour des failles de sécurité. Il renvoie dos à dos les partisans de la divulgation immédiate des bugs et ceux qui cultivent à leur profit le secret de l'embargo. Linus Torvalds, le célèbre créateur du noyau Linux, en a assez de ce qu'il voit comme un « cirque sur la sécurité » entourant les vulnérabilités logicielles, et le battage dont elles font l'objet de la part des professionnels. Il a répondu à nos confrères de Network World via un échange d'emails. Il est revenu sur ce qu'il avait indiqué il y a un mois, via un post (http://article.gmane.org/gmane.linux.kernel/706950) : Une raison qui fait que je refuse de m'inquiéter avec tout ce cirque sur la sécurité est que je pense que cela valorise, et donc encourage, les mauvais comportements. Cela transforme les professionnels de la sécurité en héros, comme si les gens qui corrigent les autres bugs n'étaient pas importants. Or, tous ces bugs ennuyeux et normaux sont beaucoup plus importants, parce que ce sont les plus nombreux ". Linus Torvalds s'était également fendu d'une charge sur la communauté OpenBSD. « Le monde de l'OpenBSD est un groupe de singes se masturbant, dans le sens, où ils font tout un plat du fait de se concentrer sur la sécurité au point que rien d'autre ne compte pour eux ». Linus Torvalds a reconnu par la suite que cette sortie pouvait être jugée offensante. Il regrette le fait que ce que l'on appelle « sécurité » se sépare trop souvent en deux camps : ceux qui conservent le secret sur les problèmes en cachant les informations jusqu'à ce qu'un bug soit corrigé, et ceux qui révèlent « les failles de sécurité des vendeurs parce qu'ils voient cela comme une preuve de plus du fait que ces derniers sont corrompus, ce que la plupart sont certes ». Selon Linus Torvalds, ces deux camps sont « fous. Ils se pointent du doigt réciproquement comme un moyen de cimenter leur propre raison d'être.». Il estime qu'aucun des deux camps n'a tout à fait raison, et que le juste milieu consistant à corriger les problèmes le plus tôt possible sans trop de battage, est préférable. « Il faut effectuer les corrections rapidement, et pour cela un certain niveau de divulgation auprès des développeurs est nécessaire » Linus Torvalds ajoute qu'il se moque d'étiqueter les mises à jour et les modifications apportées à Linux avec correctif de sécurité dans un avis de sécurité. « Qu'apporte cet étiquetage ? Cela ne fait que perpétuer cet état d'esprit inadapté et constitue un gâchis de ressources, déclare-t-il. Par ailleurs, il vaut mieux éviter d'adhérer uniquement soit à une démarche de « complète et immédiate divulgation » soit d'ignorer les bugs qui pourraient embarrasser les vendeurs, souligne-t-il. « Toute situation permettant au vendeur de faire le mort sur un bug durant des semaines est inacceptable, tout comme toute situation qui rende plus difficile de parler aux techniciens pour ceux qui découvrent les problèmes ». Linus Torvalds reste sceptique sur la valeur des mises à jour synchronisées entre les vendeurs, ce qui favorise l'idée d'un embargo sur les informations concernant les vulnérabilités logicielles jusqu'à la disponibilité d'un correctif de la part du vendeur. Ce processus décourage le fait de réfléchir à des modifications de conception qui rendraient plus difficile l'apparition de bugs de sécurité. « Cet état d'esprit qui veut que les embargos soient une bonne chose est juste un dévoiement de la part des vendeurs, mais d'un autre côté, la divulgation ne devrait pas être un objectif. Je ne crois en aucune des deux approches, poursuit-il. Ce que Linus Torvalds favorise est « de gérer un modèle où la sécurité est plus simple à réaliser dès le départ, c'est le modèle Unix, mais qui simplifie la déclaration de bugs sans embargo, mais de façon privée ». Il déclare que la liste de sécurité du noyau Linux est « privée » dans le sens où « nous n'avons pas besoin de fuites au-delà » afin de corriger certains problèmes logiciels. Selon lui, ce processus permet, mais n'encourage pas un embargo de 5 jours, et « même alors, je transmettrais au besoin l'information vers les techniciens, parce que même cet embargo secret n'est pas une chose folle absolue ».
