Sécurité Linux : l’essentiel n’est toujours pas assuré !
20 juillet 2015
Alors que la déclaration de confidentialité vient de nous révéler l’amplitude de la collecte des données réalisée par Microsoft, nous restons toujours orphelins sous Linux d’une solution de filtrage des paquets Tcp/Ip par processus au niveau de Netfilter ! Il y aurait d’ailleurs beaucoup à s’amuser de voir le monde Linux s’attarder au très accessoire Firewalld ou au projet Nftables, là où nous aurions besoin de choses bien plus fondamentales. Je vous en avais déjà parlé en avril 2012 dans un article qui eut à l’époque du retentissement.
A quand wf.msc sur Linux ?
Exemple. Si je veux sous Linux n’autoriser que Firefox à faire du Tcp/80 sortant, eh bien, ce n’est tout simplement pas possible ! Je passe sous silence le délire qui consisterait à vouloir utiliser SELinux, qui d’ailleurs n’est pas capable de le faire. Dans Iptables, je suis condamné à ouvrir le port Tcp/80 en sortie et c’est tout. C’est tout de même un comble qu’après le retrait de cette fonctionnalité datant de la sortie du noyau 2.6.14 en octobre 2005, nous ne disposons toujours pas d’une solution simple sur Linux, alors que Windows la propose sous Windows Vista au travers de la console wf.msc depuis avril 2007. Du côté des éditeurs commerciaux qui auraient pu palier le manque, il n’y a à ce jour aucune solution à l’horizon.
Moi, j’ai dit bizarre, comme c’est bizarre !
Le souci est que, tel qu’il nous est proposé à ce jour, Linux n’offre pas le niveau de sécurité de Windows. Ce n’est pas la peine de brailler contre Microsoft si on n’est même pas capable de proposer une fonctionnalité de base en matière de sécurité, accessible à tous. Pour le linuxien que je suis et que je resterai, le constat est forcément amer, à l’heure du pillage généralisé de nos données personnelles. Je ne peux pas rester insensible au fait que nous ne soyons pas en capacité de filtrer très précisément ce qui sort d’un ordinateur Linux. Mais, au fait, pourquoi diable, cette fonctionnalité a-t-elle été retirée de Netfilter ? Les développeurs n’ont jamais daigné répondre à mes questions. Trop occupés à faire compliqué quand on peut faire simple ?