Ubuntu : la distribution Linux la moins sûre en 2015 !

Ubuntu : la distribution Linux la moins sûre en 2015 !Sur la base des vulnérabilités recensées par le CERT-FR en 2015, Ubuntu apparaît comme la distribution Linux présentant le plus grand nombre de failles de sécurité au niveau noyau. En 2015, OpenSUSE, Oracle Linux,  Fedora et SUSE devancaient Debian.

A noter qu’avec 15 alertes de vulnérabilités, Red Hat et CentOS n’apparaissent pas comme des distributions d’une très grande « fiabilité » contrairement à leur réputation.

A ces failles, s’ajoutent 4 alertes de vulnérabilités de type noyau concernant toutes les distributions Linux.

Alertes de vulnérabilités des principales distributions Linux selon le CERT-FR

Fedora totalise donc 7 alertes de vulnérabilités en 2015, là où Ubuntu en cumule 29 au total.

Distribution Linux Vulnérabilités
Linux 4
OpenSUSE / Oracle Linux +1
Fedora /SUSE +3
Debian +5
Red Hat / CentOS +15
Ubuntu / Mint +25

Sécurité  / Centos Fedora Formateur Fedora Formateur Linux Formateur openSUSE Formateur Oracle Linux Linux Mint OpenSuse Oracle Linux Red Hat SUSE Ubuntu Server LTS 

Commentaires

La moins sûre ou la plus auditée/utilisée ?

Salute,

Je trouve souvent que tu as la parole un peu trop franche sur la sécurité. Il faut ramener ça à l’utilisation et aux nombres d’utilisateurs non (vraie question) ?

Est-ce qu’OpenSUSE est plus sûr ou seulement cette distrib étant bien moins utilisée les « chercheurs » sont moins nombreux et on trouve moins de failles dessus ?

On pourrait aussi prendre en compte le nombre de paquets proposés par chaque distrib. Finalement est-ce que ce n’est pas Ubuntu la plus sécurisée car c’est sur elle qu’on fait le plus de tests de sécurité (encore une fois vraie question car je trouve que ton point de vue est très souvent intéressant) ?

A mon avis il faudrait nuancer le titre (peut-être) en disant Ubuntu la distribution au plus grand nombre de vulnérabilités puis rappeler que c’est elle qui a aussi le plus grand nombre de paquets.

Merci, Tcho !

@Cascador

Le CERT-FR a pour objet, au travers de ses alertes de vulnérabilités, de nous remonter les failles des systèmes et des logiciels utilisés dans le secteur des administrations et des collectivités. Je ne vois pas l’intérêt qu’il aurait à parler des failles de logiciels et de systèmes qui n’y sont pas utilisés.

L’analyse que je propose porte sur le noyau. Pas sur les paquets qui contiennent des logiciels et les dépendances qui n’ont rien à voir avec le système du fait qu’ils concernent la couche applicative. Une faille VLC ne concerne en rien le système Linux.

Je n’exprime dans ce billet aucun point de vue. Je me fous du bien et du mal en matière de système d’exploitation. Mon analyse est totalement factuelle. Je peux comprendre qu’elle dérange du fait de cette étrange phénomène d’identification aux marques qui amène les gens à croire que, parce qu’ils utilisent Ubuntu, ils sont un peu Ubuntu eux-mêmes. Évidemment, il n’y a aucun sens à s’identifier de près ou de loin à Ubuntu, à Debian, à CentOS ou à Fedora. Nous sommes des techniciens.

NB Je suppose que tu es un utilisateur Ubuntu ? Moi aussi.

Salut Denis,

Je suis sous Xubuntu (portable et fixe) mais Debian pour serveurs et server@home. Si je suis fanboy c’est plutôt Debian lol.

Soyons clair je n’ai aucune problème à reconnaître que quelque chose est de la merde quand on me le démontre.

Je te signale qu’à aucun moment dans ton article tu stipules que les vulnérabilités concernent le seul noyau. Ce serait bon de le préciser je pense.

Ensuite je comprends ton point de vue d’être « factuel ». Ma remarque partait sur un autre sujet, on va laisser tomber.

Je te remercie pour tes précisions, Tcho !

@Cascador

Dans mon esprit, par la référence au CERT-FR citée en lien, c’était implicite. C’est désormais corrigé. Merci pour la remarque.

NB Moi, comme tu le sais, je suis plutôt RPM. Et ça m’a franchement peiné de voir à quel niveau se situaient Red Hat et CentOS.

Bonjour,

Cela ne veut rien dire, voir c’est peut-être même le contraire…
Pour faire au plus simple. Combien de version de Ubuntu sont concernées? Ubuntu maintient peut-être plus de version que les autres distributions. Combien de paquet comporte Ubuntu contrairement à Red Hat?
N’oubliez pas que le noyau Linux est commun à toutes distributions et que c’est généralement les mêmes vulnérabilités.
Ensuite comparer si certain ne font pas une grosse mise à jour globale et ceux qui font au fur et à mesure des découvertes.

Idéalement savoir quel est le facteur empêchant une vulnérabilité commune genre fstack-protector utilisé, variable kernel.kptr_restrict, SELinux etc…

Tiens je ne vois pas archlinux, aucune alerte de sécurité ?

Sinon même remarque que matlink.

@HacKurx

Si j’ai bien compris, plus une distribution possède de vulnérabilités, plus elle est sûre. Mais, où avais-je la tête ?

@pololasi

Si Fedora est à 1%, à combien de « part de marché » doit s’élever ArchLinux ? LE CERT-FR ne remonte que les vulnérabilités des distributions utilisées. J’ai peur que ArchLinux fasse partie, hélas, des distributions « confidentielles ».

Salute,

Oui j’ai bien vu que tu étais plutôt RPM lol. D’ailleurs il est dommage de voir qu’il n’y a plus guère de blogs/sites en Français autour de CentOS, Fedora.

Pour ma part je prône l’envie et le besoin de l’utilisateur avant tout. Je n’ai aucun problème avec le fait que certains utilisent Windows. Il faut respecter le choix de chacun et ses besoins.

Longue vie à GNU/Linux et au Libre ;)

Tcho !

C’est du pur FUD.
Les alertes du CERT-FR sont basées sur les bulletins de sécurité des distributions (et les CVE). Elle concernent des vulnérabilités *corrigés*.
La seule conclusion que l’on pourrait en tirer c’est qu’Ubuntu propose plus souvent que les autres distribution des patches corrigeant des vulnérabilités du noyau.

@Bruno

Oui, c’est un complot judéo-maçonnique !

Laisser un commentaire

(requis)

(requis)