Le noyau Linux souffre de bugs

Si la devise "personne n'est parfait" s'applique parfaitement aux humains que nous sommes, nous pourrions tout aussi bien en faire une analogie avec nos amis les kernels, qui présentent eux aussi leurs défauts.

Plaisanterie mise à part, la société américaine Coverity, spécialisée dans la sécurité, trouve que le pingouin s'expose un peu trop au soleil, et peut risquer une forte insolation à base d'attaques de la part de personnes mal intentionnées.

Mais récapitulons.
Au mois de Décembre 2004, la dite société passe en revue le code de la version 2.6.9 du noyau Linux.
Lors de cette vérification, l'entreprise découvre pas moins de six failles de sécurité parsemant le code du kernel, notamment dans la partie concernant le réseaux et les systèmes de fichiers.
Au mois de Juillet 2005, la société analyse à nouveau la dernière version du noyau Linux, à savoir la 2.6.12 aujourd'hui, et miracle, la totalité des six failles de sécurité découvertes six mois plus tôt dans l'ancienne version étaient maintenant absentes.
Cependant, les analystes n'en sont qu'a moitié satisfaits, puisqu'ils estiment que quelques 1008 erreurs de programmation (également appelés "bugs", ou plus communément (horriblement ?) "bogues" ) se balladent en toute impunité dans le malheureux code du non moins malheureux noyau.

Les experts n'excluent pas que ces bugs puissent mener à la découverte de faille de sécurité, d'autant plus que ce nombre de bugs est en augmentation, puisque ce nombre atteignait "seulement" 985 erreurs il y a six mois.

"Les bugs que nous avons rapporté comme étant des failles critiques ont été corrigés", indique Seth Hallem, PDG de Coverity, "Mais dans le même temps, les développeurs écrivent toujours du code buggé. Dès que du nouveau code est injecté, il y a de nouveaux bugs".

Pourtant, le nombre de bugs par millier de lignes de code du kernel est passé de 0.17 à 0.16 (On compte de cette manière dans le milieu, et ceci s'appelle la densité de bugs. Pour calculer la densité de bugs d'un programme, il faut calculer le nombre de bugs que l'on rencontre, en moyenne, à chaque millier de lignes de code. Le chiffre obtenu peut permettre d'effectuer une comparaison et d'en tirer les conclusions nécessaires).
Ce qui signifie inévitablement que le code de Linux se sécurise au fur et à mesure que celui-ci évolue, les bugs, à défaut d'être moins nombreux, sont en tous cas moins denses.

Les outils utilisés par Coverity pour trouver les bugs analysent les erreurs communes en langage C/C++ (à la manière d'un compilateur et de ses fameux "warnings" ).
Hallem concède que les erreurs trouvées dans le code conernant le réseau et les systèmes de fichiers ont été jugées comme critiques parce que ces fonctions allaient être manipulées par une grande majorité des utilisateurs.

Ces outils ne peuvent donc pas servir à "mesurer" la sécurité du noyau, encore moins à la comparer avec celle du noyau de Windows, le fait que le code source de ce dernier ne soit pas ouvert rend toute comparaison de ce type impossible.
La firme de Redmond utilise cependant des outils similaires pour détecter rapidement les erreurs dans le code et un autre outil est lancé chaque nuit, testant le code source en entier et de manière plus approffondie, afin de détecter des erreurs plus complexes.

Source : ZDNet

Ne parle pas trop vite car il existe des méthode pour prouver q'un programme ne contient aucun bug
Cette méthode a été appliqué au code source du metro ligne 14 à paris par exemple
Qui sait s'il ne l'ont pas appliqué ici ^^

Je disais pas ça en l'air hein, je sais qu'il existe des méthodes de développement, qui justement permettent de faire un code exempt de bugs. Il me semble que c'est ce qui est utilisé en aéronautique.

En plus c'est une veille news et il semblerait que l'outils en question fasse pas mal de faux positifs (ils détecte un bug la ou il n'y en a pas en réalité).

Dommage qu'on est pas les sources de Windows, ca aurait été marrant de comparer les stats avec celle du kernel.

Oui, c'est le gestionnaire de source dont j'ai perdu temporairement le nom. Ils sont obligés de changer, suite à un problème de ... licence ...

Le jour où on pourra réellement me le prouver j'y croirait... pour le moment je suis pas convaincu par ce genre d'affiramtion que l'on retrouve souvent.

Qu'esse t'en sais que Windows a plus de faille? t'es si pro que sa? en attendant Parlons de Linux qui lui a des failles contrairement a ce que les PRO-LINUX espérait...

Ha ouais?

Et tu vas nous dire quel est le temps moyen de réaction de MS et celui de la communauté de babas cools du "libre"?

Tout ce que je vois c'est des patchs réguliers et installés automatiquement sur les Windows XP.

Les Linux du marché s'auto updatent aussi facilement?

Tous les combien de temps?

Sachant que ces auto updates doivent être gérés par les sociétés (donc avec des employés, comme chez MS) qui produisent les distros bien connues.

La réactivité du monde libre c'est du maxi pipeau.
Que les codeurs réagissent vite, c'est un fait.
Que les patchs soient facilement accessibles pour l'utilisateur moyen d'un Linux, on en reparlera.
Sorti des geeks qui vérifient 234234 fois par jour si leur noyau est à jour, je suis prêt à parier qu'il y a plus de linux non patchés que de windows non patchés (sur les versions récentes s'entend...), et toutes proportions gardées.

Bon déjà Debians a totalement raison.

Par contre ca...
Depuis que je tourne sous Windows, peu importe quelle version je n'ai JAMAIS été emmerdé par une faille de sécuritée, il faut arrété de répéter betement se que les gens disent.
C'est bizarre, pour toutes failles de sécuritée trouvée, j'ai eu droit aux mises a jours 1 semaine voir 2 mais pas plus serais-je le seul ? Non je ne pense pas, arrete les conneries dès que Microsoft apprend l'éxistence d'une faille de sécuritée ils éssayent de la corriger.

Je me rappelle qu'il n'y a pas tres longtemp une faille a été corrigée quand même un mois apres avoir été trouvée (dans le libre mais je ne sais plus quel soft) donc bon...

(Je ne suis pas du tout contre les logiciels libres mais contres les gens comme vous qui ne font que répéter ce qu'ont leurs dit sans connaître réellement le sujet).

Voilà bein cela confirme bien se que je disais...

188 Failles et seulement 35 non patchée et des gens trouvent le moyen d'ouvrir leurs geules disant que chez Microsoft ils corrigent pas les failles...

C'est quand même différent des 77 dont 30 non patchée du côté du libre...

Mais malgré toutes les failles critiques sous Windows je continue a dire qu'il ne faut pas être doué pour être infecté parce-que c'est trop facile de tout mettre sur le dos de l'Os ...

hey, calmez-vous un peu avec vos reactions a l'emporte piece. ok les fervents defenseurs de linux en font parfois un peu trop, idem pour ceux de MS, mais regardons les choses en face: combien d'entre vous peuvent dire avec asurance que leur systeme a ete victime d'une faille de securité?

avec un pc on a toujours un souci + ou - important (allant de msn momentanement indisponible, jusqu'au sale virus qui colle comme la m...de au Q), mais ca empeche pas de vivre. alors faire tout un steak pour un constat affligeant sur les failles et les bugs, et la maniere dont c'est gerer, faut pas abuser... ou alors achetez une gameboy noir et blanc, la vous serez tranquille un moment...

Est ce qu'on doit te compter le nombre de failles critiques dans IE qui sont pas corrigées depuis des années ?
Parce que si ça se produit dans le libre, au moins on a les sources, et si on est vulnérable, on peut toujours se démerder. Avec Windows (et tout autre soft propriétaire), on est coincés par la boite.

Quand on voit que Cisco pose des brevets sur les failles de sécurités et leurs patchs ...

Ok, cré une partition, achète un Windows XP vendu sans SP1 ni SP2 (ou fais autre chose que de l'acheter, mais chut, ça ne nous regarde pas :-P) et comporte-toi comme un débutant qui n'a pas encore ni d'antivirus ni de firewall.

Installe ton "nouvel" XP et part à la recherche d'un antivirus et d'un firewall (tout en sachant qu'un débutant ne le fera pas aussi vite puisqu'il sera d'abord content de pouvoir naviguer sur internet et qu'il ne saura pas forcément qu'il en faut, tout de suite).

La dernière fois que j'ai voulu installer XP et me connacter aussitôt pour télécharger un firewall, ça m'a pris 5 minutes en tout, et j'ai choppé une 20aine de merdes (virus et spyware en tout genre).

Alors faut arrêter un peu avec les "faut pas être doué pour ceci..." Tout le monde n'a pas la science infuse, toi le premer puisque tu ose dire que 35 failles sous Windows dont plusieurs critiques c'est rien à coté des 30 failles dont aucune critiques sous Linux.

Alors oui, il y a de l'exagération du côté des Linuxiens, mais il y en a assi autant du côté des microsoftiens. Je ne citerai pas le noms d'une personne ici qui porte le nom d'une distribution connue (+ un s) mais ose parler de certaines choses et d'affirmer certaines choses qui sont contraires à la réalité.
Pour revenir à cette histoire d'exagération, dans un sens il est normal de vouloir défendre ce qu'on aime bien, même si l'on n'a pas connu la partie adverse. Après faut voir à ne pas inventer non plus... Et jusqu'ici, à part quelques très grosses exagération au début après les sérieuses discussions, je n'ai vue d'inventions que dans les propos de microsoftiens (exception : celui qui dit que le noyau windows est plus troué que le noyau linux, alors qu'il n'en a pas de preuve réelle).

Bref...

Pour revenir au sujet de départ...

Sait-on si ces "bugs" provoquent des failles ou juste des bugs ?

Et puis personne ne peut se venter d'être parfait non plus... Même une grosse société informatique en position de monopole et gagnant 40 milliards de $ ne peut se venter de créer des choses parfaites :-D

Oui d'accord, mais alors unpeu mieu que toi sur se sujet enfin disons que j'ai pas de la merde dans les yeux, ne sois pas impatient ca viendra sous Linux aussi ne t'inquiete pas pour ca.

Mais toi qui permet de dire a quelqu'un que tu ne connais pas qu'il n'y connait rien tu devrais être capable de nous faire un OS ou soft sans failles Critiques non ? (Libre).
Alors vas'y fais le, tu rendra service a beaucoup de monde.

Tu vois a quoi je vois que tu n'y connais pas grand chose non plus ? enfin attention tu peux tres bien savoir manipuler Linux tout ca sans pour autant savoir de quoi tu parle, je m'explique:

Je connais 2 ou 3 BON codeurs (sous Linux & Windows) et jamais tu les entendras critiquer Windows surtout pour ses failles, ou alors cette "rumeur" comme quoi le XP n'est pas stable bref, car se sont tout simplement des argumentations bidons.

C'est facile de critiquer le travail des autres (là en l'occurence Microsoft) qui il faut le dire bossent, quand on reste assis devant son PC a ne rien fouttre et qu'on est completement incapable de faire ne serait-ce que 2% de leurs taff!

Pour ce qui est de la faille RPC détrompe toi avec un BON parefeu tu ne serais pas emmerdé (j'avais fais le test sur une machine).

Ah, j'ai entendu parler de Novell aussi, il ne faut pas oublier qu'a la base ils avaient le même but que Microsoft...

Bref tu vois Ohkami je préfererais ne rien m'y connaitre tout simplement que de ne rien y connaitre mais de critiquer le travaill des autres.

Oui Windows possède des failles critiques, tout comme Linux, se que je ne comprend pas c'est de voir des gens critiquer Windows pour ses failles et ne rien dire sur Linux, ca me gonfle surtout si quelques temp apres tu les vois poser des questions bidons sur Linux... (je ne te vise pas toi là Ohkami).

Voilà ca peut être catégorique mais un gars qui critique Windows pour moi n'y connait pas grand chose. :-P

Faut que j'arrêt de surfer, moi... quelque soit le site, je me retrouve toujours à de voir démontrer les trolls...

Si je pouvais je le ferais, mais je n'ai pas ces connaissances. Par contre, je me connais suffisamment pour savoir la différence entre :
- être protégé par un firewall
- être protégé par un anti-virus
- être protégé par la correction de failles.
Et toi, d'après ton message précédent, ça n'avait pas l'air dêtre le cas...

Moi les professionnels que j'ai rencontré c'est :
- revendeur : linux, c'est quoi, ça ?
- administrateur : windows c'est pas mal pour le grand public mais linux c'est mieux.
- developpeur de logiciels : vive les logiciels libres.
- chercheur : Windows ? connais pas...
donc en gros, plus il s'y connais, moins il supporte windows...

Et j'ai jamais dis qu'XP n'est pas stable. Il l'est, mais, si tu veux en débattre, d'après mes (nombreux test), linux l'es plus.

C'était juste un exemple de failles critiques, y'en a d'autres...

Quel rapport ? Si on n'est pas Microsoft ou qu'on ne fait pas exactement la même chose, on ne peut pas critiquer ? utiliser les logiciels ne suffit pas ? donc j'imagine que tu ne critiques jamais un film si t'es pas cinéaste, que tu ne critiques jmais un resto si t'es pas restaurateur, etc...
En fait, t'as tout à fait raison : critiquer c'est facile. Et parce que c'est facile, c'est faux
?
Quand à l'idée qu'ils bossent, j'en doute pas mais je doute fortement que ce soit pour améliorer leur produits, ce serait plutôt pour faire en sorte qu'on ne puisse choisir autre chose (mais ça, c'est 10 ans de MS qui me l'ont prouvé... difficile à expliquer en 2 minutes...)

1) Novell n'est pas linux
2) Comme tu le dis, c'était à la base...
3) c'est pas parce que d'autre font pareil que c'est plus excusable

heureusement... c'est pas moi qui ait commencé à comparer linux et windows. Et j'ai jamais dis que linux n'avait pas de failles ou de bugs. Et j'ai connu aucun linuxien dire qu'il y en avait pas. Par contre, j'ai souvent vu des gens démonter linux alors qu'il en avait jamais vu un tourner... (je te vise pas du tout, c'est juste pour expliquer, pourquoi, parfois, on ne peut s'empecher de répondre de façon agressive).

Moi, j'ai tendance à penser que quelqu'un qui défend une société qui a des intérets contraires aux siens, est un peu idiot, mais là on rentre dans un autre débat que la sécurité (personnellement, je suis opposé à MS et favorable aux logiciels libres parce que je veux conserver ma liberté de choix...).

Pour l'antivirus OK mais l'utilisateur lambda n'en sait rien (et si parfois ils ont besoin de réinstaller eux même Windows par exemple quand Windows est crashé et que le voisin informaticien est parti en vacances dans les Alpes).

Et personnellement quand je lance Ubuntu d'origine j'ai un menu "Son et vidéo" avec un lecteur de DVD (totem), un gestionnaire de musique à la iTunes (Rhythmbox), un menu "Graphisme" avec un gestionnaire d'images (gThumb), un menu "Bureautique" avec une suite complète (OpenOffice), ...

Au fait pour gérer les serveurs Unix sans avoir besoin de double boot ta putty sous Windows qui permet de se connecter en SSH aux serveurs Unix.

Si t'inquiete pas je connais la différence, j'ai juste du mal m'exprimer.

Certes un développeur te diras vive les logiciels libre, mais c'est pas pour autant qu'il va cracher sur Windows...

Oui mais se que j'ai dis est valable pour plusieurs d'entre elle.

Non si je regarde un film je dirais "j'aime pas" ou "c'est pas mon genre" et pas c'est nul et bla et bla et bla.
Il y a une différence tout de même entre critiquer et donner son avis.

J'ai jamais dis le contraire.

J'ai pas dis ca non plus seulement, on a tendance a critiquer Microsoft trop souvent, je suis pas pour le monopole je le répete, mais il n'y a pas QUE Microsoft.

Mais tu vois aujourd'hui si tu proposais la place qui a Microsoft sur le marché Mondial n'importe qui la voudrait et oui il faut ouvrir les yeux, le but de chaque entreprise a but lucratif est le monopole ou alors une bonne réussite, Microsoft fait juste partie de toutes ces dernieres seulement elle a réussi.

Je défend juste se qui doit être défendu.

Apres il faut savoir faire la différence entre Microsoft et Windows.
Et je trouve que Windows (surtout le 2000 et XP) sont de bon produits.
Apres il faut aussi réfléchir on a jamais dit que Windows xp était fait pour les serveurs, comme dit Twiggy38 chaque personne a une utilisation bien différente de l'Os.

Et arrétez svp un Windows n'est pas si "troué" que ca.
Vous vous faites trop de films par rapport a se que vous lisez plutôt que se que vous avez réellement testé (vous même).
Moi même j'utilise linux sur d'autres machines, c'est sympa je dis pas le contraire seulement j'ai eu autant de problème de sécurité sous Linux que sous Windows (a savoir aucun pratiquement, du moin pas que je me rappele) et donc c'est pas pour ca que je vais critiquer Windows.

Tout à fait!

De plus (il est possible que je me trompe) mais j'ai le présentiment que Mozilla Corporation ne va pas laisser Firefox et le reste de leurs produits gratuits pendant tres longtemp...

Alors vous, qu'esse que vous voulez? que Microsoft mette Windows en libre, qu'il soit gratuit pour tout le monde, ainsi que tout leur programme? Mais vous êtes fous ou quoi?

Puis Aurélie je ne suis aps du tout d'accord avec toi, A ton avis sa sert a quoi les mise a jour? En 2001, un Windows Xp sans SP chopait -il autant de virus en 20minutes? non... Alors c'est pour ceux la que les mise a jour existe...

Sur-ce Peut etre que linux corrige ces failles rapidement mais sa reste amateur pour moi, puisque n'importe qui peut le faire... Moi c'est microsoft je leurs fait confiance il connaissent mieu leurs systeme que nous tous, alors il savent ce qu'il font...

Aurélie, t'as pas remarqué sans doute que le FireWall est intégré à Windows XP depuis la première version?

Quant à acheter un Windows qui n'est pas muni du SP2 dès l'install, tu vas nous expliquer dans quel magasin tu peux faire ça?

Ohkami

faudrait arrêter de penser que tous les développeurs se touchent la nouille dès qu'on leur parle de "Libre".

Les seuls que ça peut amuser, sont ceux qui ont un revenu principal payé par une société bien commerciale...

Ce n'est pas l'exemple que quelques sociétés qui réussissent à faire du pognon avec du libre (comprendre : avec le travail des autres), que toutes les sociétés feront pareil.

Sans un méga mécénat derrière, le libre n'existerait pas, et le mécénat ne se fait pas de pognon par magie.

Si tu ne protèges pas tes idées, tes idées ne valent plus rien sur le marché.

Je te signales que tu ne me contredis pas sur le point où, d'après ta logique, seul MS a le droit de critiquer leurs logiciels.

Si les laisse faire, ce sera bientôt le cas...

1) Ce n'est pas parce que ça plairait à beaucoup que c'est normal...
2) une société n'est pas forcément à but lucratif.
3) le libéralisme repose sur l'idée d'une concurence libre et non faussée entre sociétés de taille comparables... Dans l'informatique, on en est loin.

une société a pour but d'être lucrative ; sinon, elle autait un autre statut (association,...)

c'est un firewall "poudre verte powered" qui empêche les failles de sécu au niveau applicatif (au hasard, dans IE) ?

C'est pas bientôt fini oui ?

Vous allez vous calmer les momes ? Non mais c'est pas possible ça... Vous n'êtes pas obligés de lapider les autres pour vous exprimer (faites pas comme moi je suis un mauvais exemple).

Voici les dit commandements (enfin presque) :

1. on n'a jamais dit que Linux n'avait pas de faille (la preuve avec cette news).
-> Mentir, tu ne feras point.

2. on n'a jamais dit que windows en avait plus (sic!).
-> Troller, tu ne feras point.

3. un CD sans SP est un CD sans firewall [Note perso ajoutée : ducon].
-> Réfléchir, tu feras.

4. un débutant ne sait pas obligatoirement qu'il faut un firewall (et non un AV uniquement) quand on fait une nouvelle installation de windows. Toi tu le sais car tu as un minimum d'expérience, mais un débutant ?
-> Pour le nombril de l'univers, tu ne te prendras.

5. quand tu as formaté ton disque et que tu n'as plus le fichier d'install du firewall ou le cd, ben tu vas le télécharger [Note perso ajoutée : ducon].
-> Découvrir, tu sauras.

6. que windows soit mieux ou que linux soit mieux, vous ne coyez pas que ça dépend avant tout de l'utilisateur ?
-> Accepter l'avis des autres, tu sauras.

7. pas besoin d'être une lumière pour faire marcher une mandriva (la preuve j'y arrive). [Donc les petit péteux qui se disent geek et qui disent "linux c'est dur", vous devriez réfléchir à votre condition.]
-> Ne pas te venter, tu feras.

8. une personne sera plus à l'aise sous linux (moi) et une autre sous Windows (mon oncle). C'est pas pour autant que l'une sera plus conne que l'autre.
-> Accepter vos différences, tu feras.

9. certains devraient se renseigner avant de parler (dois-je citer des noms ?).
-> Parler sans connaître, tu ne feras.

10. et puis c'est bien connu, de nos jours, un windows sans pare-feu ni antivirus qui se connecte, c'est un windows condamné (à moins d'avoir une chance de cocu et de ne pas être scanné par toutes les merdes du net pour être "infecté" ). Mais un Linux sans pare-feu reste vulnérable ! La seule différence, c'est que vous avez peu de chance de découvrir un malware le lendemain...
-> Linux, tu utiliseras ;-) Non mais c'est bon les lourdeaux ! je plaisante biensûr ! (quoi que...)

On va jouer à un jeu. Les prochains membres qui ne respectent pas ça je les avertis ok ? Vous allez voir, c'est un jeu marrant...