Lisant un article de l’excellent Cyrille Borne, un paragraphe m’a sauté aux yeux. Je cite :
« Je garde ma réserve car notre Linux prétendument indestructible s’il devenait du jour au lendemain la cible de tous les bandits du monde et bien peut être qu’il se ferait méchamment « marrave ». Finalement cette situation des 1% me convient bien, j’ai quelque part l’impression d’avoir trouvé un restaurant parisien à 7 € face à la tour Eiffel où l’on mange très bien, une espèce de secret que nous partagerions entre gens de bon goût. Si du jour au lendemain on devenait trop nombreux je suis persuadé qu’on y mangerait plus mal et qu’il y aurait des gens qui gâcheraient l’ambiance, on voit déjà un peu ce phénomène quand on sait ce qu’Ubuntu a apporté à l’univers Linux, pas que de la facilité c’est bien sûr. »
Je pense que la « tranquillité » de linux est surtout basée sur une chose : sa diversité.
Je m’explique. Déjà, contrairement au monde windows, il y a une foultitude de distribution. La bible Distrowatch en compte plusieurs dizaines (pour ne pas dire plusieurs centaines). Si en crois la dernière gazette en date :
* Number of all distributions in the database: 645
* Number of all active distributions in the database: 306
* Number of dormant distributions: 49
* Number of discontinued distributions: 290
* Number of distributions on the waiting list: 197
Traduit rapidement : 645 distributions recensées, 306 actives (dont une soixantaine plus ou moins dérivées de la distribution reine actuelle, j’ai nommé Ubuntu), 49 en hibernation, 290 abandonnées, 197 attendant d’être recensées.
Et si on simplifie à l’extrême, le trait, il y a en gros 3 familles :
- Celles basées sur du .deb
- Celles basées sur du .rpm
- Les autres qui regroupent aussi bien les paquets sources compilés (tar.gz, tar.xz, etc…) que des formats exotiques comme le Conary de rPath.
Donc, si une personne malintentionnée veut toujours un maximum de personnes, il faudrait que son logiciel « malin » soit disponible au moins dans 2 formats, voire plus. Il y a bien le projet autopackage, mais c’est pas franchement la joie.
Ensuite, comme 99,9% des distributions utilisent des dépots, il faudrait infecter les dits dépots, et donc contourner une série de sommes de vérifications plus ou moins puissantes (md5, sha).
Et si je me souviens, un seul cas a été recensé : celui de RedHat courant août 2008?
Il est vrai qu’il est assez ennuyeux pour un programmeur de devoir faire un paquet rpm, un paquet deb, etc… pour son logiciel. Mais cela permet d’avoir une sécurité et d’éviter qu’un sal…petit malin ne corrompe toutes les distributions.
Le vrai danger, c’est le manque de formation des utilisateurs qui utilisent root pour l’utilisation courante, mais cela est du à la conception de Windows qui jusqu’à récemment (en gros jusqu’à Vista) n’était utilisable qu’avec des droits complets sur l’ensemble de la machine.
Je ne prétends pas qu’avec la montée en puissance du logiciel libre au niveau OS de bureau la situation va devenir plus dangeureuse, mais les risques sont limités.
Avis personnel, que je partage 😉