C’est à l’éditeur de solutions de sécurité Trustwave qu’on doit la blagounette du jour : selon lui, Windows serait plus sécurisé que Linux. Preuves à l’appui. Mais preuves qui sont une nouvelle illustration du fait qu’on peut faire dire ce qu’on veut aux statistiques…
En effet, pour lancer son affirmation, Trustwave s’appuie sur un rapport semblant montrer que sous Windows, le délai moyen entre la découverte d’une faille et sa correction serait deux fois plus court que pour le noyau Linux. Un rapport parfaitement correct… mais qui ne s’appuie que sur quatre failles bien particulières, et dont les conséquences étaient de plus bien plus graves sous Windows que sous Linux. Généraliser la conclusion est donc quelque peu hâtif, quand on sait que ce sont chaque années des dizaines, voir des centaines de failles qui sont corrigées.
Par ailleurs, la mesure de la réactivité de correction des failles Linux peut fortement dépendante de la distribution étudiée. J’avais pu le constater il y a quelques années, avec une faille permettant une élévation de privilège : un correctif a été développé et intégré dans les distributions les plus rapides (généralement des distributions orientées serveurs) en moins de 24h, alors que certains distributions plus « grand public » avaient mis plusieurs jours, voir semaines pour reporter la correction.
De plus, la sécurité d’un OS ne se mesure pas que sur la réactivité pour la correction de failles, aussi majeures soient-elles. En fait, Trustwave a certainement raison sur certains points : Windows est aujourd’hui arrivé à un niveau de sécurité élevé, qui le rend plutôt robuste aux attaques distantes, peut-être plus que certaines distributions Linux (mais sans doute aussi moins que d’autres). Mais sur d’autres aspects, Windows reste probablement moins sûr, pas forcément seulement pour des raisons techniques, mais aussi pour des raisons de part de marché, qui en font la cible privilégiée des malwares visant les postes clients.
Le meilleur indicateur de sécurité d’un OS devrait donc plutôt se baser non pas sur la vitesse de correction des failles (surtout sans regarder leur nombre…), mais plutôt sur une analyse du nombre moyen d’attaques par machine et par unité de temps (ce qui donne une idée de l’intérêt des pirates pour la plateforme), du taux de réussite de ces attaques (ce qui donne une idée de la fiabilité « technique » du système), et enfin, du nombre moyen d’attaques réussies par machine et par unité de temps, qui constitue le véritable indicateur de risque pour les utilisateurs d’un système (si vous avez connaissance de rapports donnant ce genre de chiffres, n’hésitez pas à me le signaler 🙂 ).