29Aug

Les développeurs d'Ubuntu disent que Linux Mint n'est pas sécurisé.Ont-ils raison?

Linux Mint n'est pas sûr, selon un développeur d'Ubuntu employé par Canonical qui dit qu'il ne ferait pas ses opérations bancaires en ligne sur un PC Linux Mint. Le développeur allègue que Linux Mint "pirate" les mises à jour importantes. Est-ce un vrai problème ou juste une peur?

Le développeur d'Ubuntu impliqué a obtenu certains faits erronés et a endommagé son propre cas, mais il y a encore un vrai argument à avoir ici. Ubuntu et Linux Mint traitent les mises à jour de différentes manières, et chacune a ses propres compromis.

Allégations du développeur Ubuntu

Oliver Grawert, un développeur d'Ubuntu employé par Canonical, a lancé la guerre verbale avec ce message sur la liste de diffusion des développeurs Ubuntu. Dans ce document, il a déclaré que les mises à jour de sécurité «sont explicitement supprimées de Linux Mint pour Xorg, le noyau, Firefox, le chargeur de démarrage et divers autres paquets».

Il a fourni un lien vers le fichier de règles Mint Update, déclarant que c'est "une liste de paquets [Mint] ne sera jamais mise à jour." Ceci est incorrect - le fichier fait quelque chose de plus compliqué que cela, mais nous y reviendrons plus tard. Il a continué: "je dirais que garder un navigateur noyau ou xorg vulnérable au lieu de permettre aux mises à jour de sécurité fournies d'être installateur [sic] en fait un système vulnérable. .. Personnellement, je ne ferais pas de banque en ligne avec ça;)".

Certaines de ces allégations sont complètement fausses. Il est vrai que Linux Mint bloque les mises à jour pour les paquets tels que le serveur graphique X.org, le noyau Linux et le bootloader par défaut. Cependant, ces mises à jour ne sont pas "piratées de Linux Mint", comme nous le montrerons plus tard. Linux Mint ne bloque pas non plus les mises à jour de Firefox. Les mises à jour du navigateur Web Firefox sont importantes pour la sécurité du monde réel et sont autorisées par défaut, donc les allégations de ce développeur Ubuntu sont hors sujet. Cependant, il y a toujours un vrai argument ici - Linux Mint bloque certains types de mises à jour de sécurité par défaut.

La réponse de Linux Mint

Le fondateur et développeur principal de Linux Mint, Clement Lefebvre, a répondu à ces accusations par un article de blog. Dans celui-ci, il souligne que le développeur d'Ubuntu était incorrect au sujet des allégations que nous avons expliquées ci-dessus. Il clarifie également la raison pour laquelle Linux Mint exclut les mises à jour pour certains paquets par défaut:

"Nous avons expliqué en 2007 les défauts de la façon dont Ubuntu recommande à ses utilisateurs d'appliquer aveuglément toutes les mises à jour disponibles. Nous avons expliqué les problèmes liés aux régressions et nous avons mis en place une solution dont nous sommes très satisfaits. "

Firefox est automatiquement mis à jour par Linux Mint, tout comme Ubuntu. En fait, les deux distributions utilisent le même paquet provenant du même référentiel.

L'argument principal de Linux Mint est que la mise à jour "aveugle" de paquets comme le serveur graphique X.org, le bootloader et le noyau Linux peut causer des problèmes. Les mises à jour de ces paquets de bas niveau peuvent introduire des bogues sur certains types de matériel, alors que les problèmes de sécurité qu'ils résolvent ne sont pas réellement un problème pour ceux qui utilisent Linux Mint à la maison. Par exemple, de nombreuses failles de sécurité dans le noyau Linux sont des vulnérabilités de type «escalade de privilèges locale».Ils peuvent permettre aux utilisateurs ayant un accès limité à l'ordinateur de devenir l'utilisateur root et d'obtenir un accès complet, mais ils ne peuvent pas être facilement exploités à partir d'un navigateur Web comme le ferait un problème de sécurité typique en Java.

est-ce vraiment un problème?

Les deux parties ont de bons arguments. D'une part, il est absolument vrai que Linux Mint désactive par défaut les mises à jour de sécurité pour certains paquets. Cela laisse un système Mint avec des vulnérabilités de sécurité plus connues, qui pourraient théoriquement être exploitées.

D'un autre côté, il est vrai que ces failles de sécurité ne sont pas activement exploitées. Linux Mint met à jour les logiciels en cours d'attaque, comme les navigateurs Web. Il est également vrai que les mises à jour de X.org ont causé des problèmes dans le passé.En 2006, une mise à jour d'Ubuntu a brisé le serveur X de nombreux utilisateurs d'Ubuntu qui l'avaient installé, les forçant à entrer dans le terminal Linux. Les utilisateurs concernés ont dû réparer leurs systèmes à partir du terminal. La politique de Linux Mint sur les mises à jour a été expliquée juste un an plus tard en 2007, il est donc probable que cet épisode ait affecté la position actuelle de Linux Mint.

Si vous êtes un utilisateur de bureau à domicile, vous ne serez probablement pas compromis à cause d'une faille dans le noyau Linux. Bien entendu, si vous exécutez un serveur exposé à Internet ou que vous souhaitez exploiter un poste de travail professionnel auquel vous souhaitez restreindre l'accès, vous devez vous assurer que toutes les mises à jour de sécurité possibles sont installées.

Contrôle des mises à jour de sécurité dans Linux Mint

Tout utilisateur de Mint Linux qui préfère recevoir toutes les mises à jour de sécurité obtenues par les utilisateurs d'Ubuntu peut les activer depuis le Gestionnaire de mise à jour de Mint. Ces mises à jour ne sont pas "piratées", mais sont simplement désactivées par défaut.

Pour contrôler ce paramètre, ouvrez l'application Update Manager depuis le menu de votre environnement de bureau. Cliquez sur le menu Edition et sélectionnez Préférences. Vous serez alors en mesure de choisir les "niveaux" de paquets que vous souhaitez installer. Les «niveaux» sont définis dans le fichier de règles de mise à jour de Mint mentionné plus haut. Les niveaux 1-3 sont activés par défaut, tandis que les niveaux 4-5 sont désactivés par défaut. Firefox est un paquet de niveau 2, qui est mis à jour par défaut. X.org et le noyau Linux sont respectivement les niveaux 4 et 5, ils ne sont donc pas mis à jour par défaut.

Activez les niveaux 4 et 5 et vous obtiendrez les mêmes mises à jour qu'Ubuntu - provenant des propres dépôts de mise à jour d'Ubuntu - mais vous serez plus à risque de "régressions" qui introduisent des problèmes.

Le vrai désaccord est philosophique. Ubuntu se trompe sur le fait de tout mettre à jour par défaut, en éliminant toutes les failles de sécurité possibles - même celles qui sont peu susceptibles d'être exploitées sur les systèmes des utilisateurs à domicile. Linux Mint se trompe sur le point d'exclure les mises à jour qui pourraient potentiellement causer des problèmes.

La solution que vous préférez dépendra de l'utilisation que vous faites de votre ordinateur et de votre degré de confort face aux risques.