Les développeurs Ubuntu disent que Linux Mint n'est pas sécurisé. Ont-ils raison?
Linux Mint n'est pas sûr, selon un développeur Ubuntu de Canonical qui affirme qu'il ne ferait pas ses opérations bancaires en ligne sur un PC Linux Mint. Le développeur affirme que Linux Mint "pirate" des mises à jour importantes. S'agit-il d'un problème réel ou simplement alarmiste??
Le développeur Ubuntu impliqué a mal interprété certains faits et endommagé sa propre cause, mais il reste encore un vrai argument à défendre ici. Ubuntu et Linux Mint traitent les mises à jour de différentes manières, et chacune a ses propres compromis.
Allégations d'un développeur Ubuntu
Oliver Grawert, un développeur Ubuntu de Canonical, a lancé la guerre verbale avec ce message sur la liste de diffusion des développeurs Ubuntu. Il y déclarait que les mises à jour de sécurité "sont explicitement extraites de Linux Mint pour Xorg, du noyau, de Firefox, du chargeur de démarrage et de divers autres packages"..
Il a fourni un lien vers le fichier de règles Mint Update, indiquant qu'il "s'agit d'une liste de packages que Mint ne mettra jamais à jour". Ceci est incorrect - le fichier est plus compliqué que cela, mais nous y reviendrons plus tard. Il a ajouté: «Je dirais de garder avec force un navigateur de noyau vulnérable ou xorg en place au lieu de laisser les mises à jour de sécurité fournies être un programme d'installation [sic] en fait un système vulnérable… Personnellement, je ne ferais pas de banque en ligne avec elle;)».
Certaines de ces allégations sont complètement fausses. Il est vrai que Linux Mint bloque les mises à jour pour des packages tels que le serveur graphique X.org, le noyau Linux et le chargeur de démarrage par défaut. Cependant, ces mises à jour ne sont pas «extraites de Linux Mint», comme nous le montrerons plus tard. Linux Mint ne bloque pas non plus les mises à jour de Firefox. Les mises à jour du navigateur Web Firefox sont importantes pour la sécurité dans le monde réel et sont autorisées par défaut. Les allégations de ce développeur Ubuntu sont donc fausses. Cependant, il y a toujours un vrai argument ici: Linux Mint bloque certains types de mises à jour de sécurité par défaut..
Réponse de Linux Mint
Le fondateur et développeur principal de Linux Mint, Clement Lefebvre, a répondu à ces accusations par un billet de blog. Il y souligne que le développeur Ubuntu s’est trompé sur les allégations que nous avons expliquées ci-dessus. Il explique également la raison pour laquelle Linux Mint a exclu les mises à jour de certains paquets par défaut:
«Nous avons expliqué en 2007 quelles étaient les lacunes de la manière dont Ubuntu recommandait à ses utilisateurs d'appliquer aveuglément toutes les mises à jour disponibles. Nous avons expliqué les problèmes liés aux régressions et mis en œuvre une solution qui nous satisfait beaucoup. »
Firefox est automatiquement mis à jour par Linux Mint, tout comme par Ubuntu. En fait, les deux distributions utilisent le même paquet provenant du même référentiel..
L'argument principal de Linux Mint est que la mise à jour «à l'aveugle» de paquets tels que le serveur graphique X.org, le chargeur de démarrage et le noyau Linux peut causer des problèmes. Les mises à jour de ces packages de bas niveau peuvent introduire des bugs sur certains types de matériel, alors que les problèmes de sécurité qu’ils résolvent ne sont pas réellement un problème pour les personnes qui utilisent Linux Mint de manière désinvolte à la maison. Par exemple, de nombreuses failles de sécurité dans le noyau Linux sont des vulnérabilités «d'escalade de privilèges locaux». Ils peuvent permettre aux utilisateurs ayant un accès limité à l'ordinateur de devenir l'utilisateur root et d'obtenir un accès complet, mais ils ne peuvent pas être facilement exploités à partir d'un navigateur Web, contrairement à un problème de sécurité typique de Java..
Est-ce vraiment un problème??
Les deux côtés ont de bons arguments. D'une part, il est absolument vrai que Linux Mint désactive par défaut les mises à jour de sécurité pour certains packages. Cela laisse un système Mint avec des vulnérabilités de sécurité plus connues, qui pourraient théoriquement être exploitées.
D'un autre côté, il est vrai que ces vulnérabilités de sécurité ne sont pas activement exploitées. Linux Mint met à jour les logiciels attaqués, comme les navigateurs Web. Il est également vrai que les mises à jour de X.org ont déjà posé problème. En 2006, une mise à jour Ubuntu a cassé le serveur X de nombreux utilisateurs d’Ubuntu qui l’avaient installée, les forçant à entrer dans le terminal Linux. Les utilisateurs concernés devaient réparer leurs systèmes depuis le terminal. La politique de mise à jour de Linux Mint a été définie un an plus tard en 2007, il est donc probable que cet épisode ait affecté la position actuelle de Linux Mint..
Si vous êtes un utilisateur de bureau à domicile, vous ne serez probablement pas compromis en raison d'une faille dans le noyau Linux. Bien sûr, si vous utilisez un serveur exposé à Internet ou si vous exploitez un poste de travail auquel vous souhaitez limiter l'accès, vous devez vous assurer que toutes les mises à jour de sécurité possibles sont installées..
Contrôle des mises à jour de sécurité dans Linux Mint
Tout utilisateur de Linux Mint qui préfère disposer de toutes les mises à jour de sécurité que les utilisateurs d’Ubuntu obtiennent peut les activer à partir du gestionnaire de mise à jour de Mint. Ces mises à jour ne sont pas «piratées», mais sont simplement désactivées par défaut.
Pour contrôler ce paramètre, ouvrez l'application Update Manager à partir du menu de votre environnement de bureau. Cliquez sur le menu Edition et sélectionnez Préférences. Vous pourrez alors choisir les «niveaux» de paquets que vous souhaitez installer. Les «niveaux» sont définis dans le fichier de règles de mise à jour Mint mentionné précédemment. Les niveaux 1 à 3 sont activés par défaut, tandis que les niveaux 4 à 5 sont désactivés par défaut. Firefox est un package de niveau 2, mis à jour par défaut. X.org et le noyau Linux ont respectivement les niveaux 4 et 5, ils ne sont donc pas mis à jour par défaut..
Activez les niveaux 4 et 5 et vous obtiendrez les mêmes mises à jour que celles d'Ubuntu - provenant des propres dépôts de mises à jour d'Ubuntu - mais vous risqueriez davantage de subir des «régressions» qui poseraient des problèmes..
Le vrai désaccord ici est philosophique. Ubuntu a tort de tout mettre à jour par défaut, éliminant ainsi toutes les vulnérabilités de sécurité potentielles, même celles qu’il est peu probable d’exploiter sur les systèmes des utilisateurs domestiques. Linux Mint commet une erreur en excluant les mises à jour qui pourraient potentiellement causer des problèmes.
La solution que vous préférez dépendra de l'utilisation que vous faites de votre ordinateur et de votre degré de tolérance aux risques..