Si la devise "personne n'est parfait" s'applique parfaitement aux humains que nous sommes, nous pourrions tout aussi bien en faire une analogie avec nos amis les kernels, qui présentent eux aussi leurs défauts.

Plaisanterie mise à part, la société américaine Coverity, spécialisée dans la sécurité, trouve que le pingouin s'expose un peu trop au soleil, et peut risquer une forte insolation à base d'attaques de la part de personnes mal intentionnées.

Mais récapitulons.
Au mois de Décembre 2004, la dite société passe en revue le code de la version 2.6.9 du noyau Linux.
Lors de cette vérification, l'entreprise découvre pas moins de six failles de sécurité parsemant le code du kernel, notamment dans la partie concernant le réseaux et les systèmes de fichiers.
Au mois de Juillet 2005, la société analyse à nouveau la dernière version du noyau Linux, à savoir la 2.6.12 aujourd'hui, et miracle, la totalité des six failles de sécurité découvertes six mois plus tôt dans l'ancienne version étaient maintenant absentes.
Cependant, les analystes n'en sont qu'a moitié satisfaits, puisqu'ils estiment que quelques 1008 erreurs de programmation (également appelés "bugs", ou plus communément (horriblement ?) "bogues" ) se balladent en toute impunité dans le malheureux code du non moins malheureux noyau.

Les experts n'excluent pas que ces bugs puissent mener à la découverte de faille de sécurité, d'autant plus que ce nombre de bugs est en augmentation, puisque ce nombre atteignait "seulement" 985 erreurs il y a six mois.

"Les bugs que nous avons rapporté comme étant des failles critiques ont été corrigés", indique Seth Hallem, PDG de Coverity, "Mais dans le même temps, les développeurs écrivent toujours du code buggé. Dès que du nouveau code est injecté, il y a de nouveaux bugs".

Pourtant, le nombre de bugs par millier de lignes de code du kernel est passé de 0.17 à 0.16 (On compte de cette manière dans le milieu, et ceci s'appelle la densité de bugs. Pour calculer la densité de bugs d'un programme, il faut calculer le nombre de bugs que l'on rencontre, en moyenne, à chaque millier de lignes de code. Le chiffre obtenu peut permettre d'effectuer une comparaison et d'en tirer les conclusions nécessaires).
Ce qui signifie inévitablement que le code de Linux se sécurise au fur et à mesure que celui-ci évolue, les bugs, à défaut d'être moins nombreux, sont en tous cas moins denses.

Les outils utilisés par Coverity pour trouver les bugs analysent les erreurs communes en langage C/C++ (à la manière d'un compilateur et de ses fameux "warnings" ).
Hallem concède que les erreurs trouvées dans le code conernant le réseau et les systèmes de fichiers ont été jugées comme critiques parce que ces fonctions allaient être manipulées par une grande majorité des utilisateurs.

Ces outils ne peuvent donc pas servir à "mesurer" la sécurité du noyau, encore moins à la comparer avec celle du noyau de Windows, le fait que le code source de ce dernier ne soit pas ouvert rend toute comparaison de ce type impossible.
La firme de Redmond utilise cependant des outils similaires pour détecter rapidement les erreurs dans le code et un autre outil est lancé chaque nuit, testant le code source en entier et de manière plus approffondie, afin de détecter des erreurs plus complexes.

Source : ZDNet

Et leur outil, il a trouvé combien de bug sur lui même ?
Il est démontré ?

Ne parle pas trop vite car il existe des méthode pour prouver q'un programme ne contient aucun bug
Cette méthode a été appliqué au code source du metro ligne 14 à paris par exemple
Qui sait s'il ne l'ont pas appliqué ici ^^

c'est pas que l'article ai un ton alarmiste, mais a parler d'autant de bugs et de failles, on va finir par croire que linux est pire que windows. bon au moins on se rend compte que chez linux ils se sortent les doigts du Q pour que les choses aillent vite, c'est deja ca

Je disais pas ça en l'air hein, je sais qu'il existe des méthodes de développement, qui justement permettent de faire un code exempt de bugs. Il me semble que c'est ce qui est utilisé en aéronautique.

Moi je le dis, que l'article a un ton alarmiste : on a l'impression qu'il y a des failles et des bugs partout et si on résume qu'est-ce qu'on apprend ?
- quand une faille critique est découverte, elle est corrigée.
- si on rapporte les bugs au nb de ligne de codes, y'en a de moins en moins.

En plus c'est une veille news et il semblerait que l'outils en question fasse pas mal de faux positifs (ils détecte un bug la ou il n'y en a pas en réalité).

Dommage qu'on est pas les sources de Windows, ca aurait été marrant de comparer les stats avec celle du kernel.

oh oui ca serait marrant de voir les sources de win, en plus ca ferait plaisir a plein de monde chez la concurence

sinon j'avais lu un article comme quoi, a partir du noyaux 2.6, linux serait developper non pas avec l'ancien "programme" qui contient certains codes plus ou moins prioritaires, mais a l'aide d'un nouvel outil 100% libre. ce qui necessite un temps d'adaptation, et qui rajoute pas mal de contrainte, a ce que j'ai pu comprendre.

Oui, c'est le gestionnaire de source dont j'ai perdu temporairement le nom. Ils sont obligés de changer, suite à un problème de ... licence ...

Ouais sauf que là le sujet n'est pas Windows mais Linux, sa va quoi faut pas abuser non plus, y'a des limites.

Je ne vois pas se que Windows a a faire ici, Linux a des bugs point, pas la peine de comparer avec Windows! :-x

Oui Windows possede plus de failles/bugs que Linux.
Voilà tu es content ?

Le jour où on pourra réellement me le prouver j'y croirait... pour le moment je suis pas convaincu par ce genre d'affiramtion que l'on retrouve souvent.

Les méthodes de test dont vous parlez s'appelle les langages (ou méthodes) formel(le)s ; il s'agit de définir quasiment mathématiquement le comportement d'un logiciel, avec une notation particulière,... puis, au fur et à mesure, on affine ce langage jusqu'à le traduire en langage informatique.
Entre chaque "affinement", il y a un certain nombre de propriétés à vérifier, telles que "la modification n'a pas modifié l'invariant" ; un invariant, ce sont des règles à respecter rigoureusement. En aéronautique, ça peut être par exemple "l'avion ne doit pas être en dessous du niveau de la mer". Plus il y a d'invariant, plus le programme sera strict.

Un des langages formels s'appelle le langage B.

Deux liens wikipedia :
http://fr.wikipedia.org/wiki/M%C3% [...] matique%29
http://fr.wikipedia.org/wiki/B_(langage)

Qu'esse t'en sais que Windows a plus de faille? t'es si pro que sa? en attendant Parlons de Linux qui lui a des failles contrairement a ce que les PRO-LINUX espérait...

L'existence de failles n'a jamais été niée (sauf par ceux qui ne connaissent pas) mais le temps de réaction dans le libre est totalement différent.

Ha ouais?

Et tu vas nous dire quel est le temps moyen de réaction de MS et celui de la communauté de babas cools du "libre"?

Tout ce que je vois c'est des patchs réguliers et installés automatiquement sur les Windows XP.

Les Linux du marché s'auto updatent aussi facilement?

Tous les combien de temps?

Sachant que ces auto updates doivent être gérés par les sociétés (donc avec des employés, comme chez MS) qui produisent les distros bien connues.

La réactivité du monde libre c'est du maxi pipeau.
Que les codeurs réagissent vite, c'est un fait.
Que les patchs soient facilement accessibles pour l'utilisateur moyen d'un Linux, on en reparlera.
Sorti des geeks qui vérifient 234234 fois par jour si leur noyau est à jour, je suis prêt à parier qu'il y a plus de linux non patchés que de windows non patchés (sur les versions récentes s'entend...), et toutes proportions gardées.

T'énérve pas mon gars mdr !
Tout les gros logiciels ou presque ont des bugs (Linux, Firefox, Windows, Photoshop) et personne ne le nie ...
En plus un bug n'est pas forcément une faille de sécurité.

L'anvantage de Linux et des autres logiciels OpenSource c'est entre autre que tout le monde peut chercher (et corriger) les bugs ce qui améliore la qualité générale (stabilité, sécurité, performances) des logiciels.
Toujours grâce à la disponibilité des sources, lorsqu'une faille de sécurité est trouvée, elle est très rapidement corrigée soit par les mainteneurs du projet, soit par la communauté. Souvent la personne qui découvre un bug ou une vulnérabilité fourni en même temps un patch.

Pour Windows au contraire c'est la sécurité par l'obscure, Microsoft tente de cacher un maximum le fonctionnement de ces logiciels, ne donne pas accès aux code sources, essaie d'enterrer les vulnérabilitées et corrige les failles des mois voir des années après leur sortie.
Dans le genre on a aussi Cisco (bien connu pour ses routeurs) et Viguard (l'anti virus) qui eux portent plainte contre ceux qui leur signalent des failles ...

Bon déjà Debians a totalement raison.

Par contre ca...
Depuis que je tourne sous Windows, peu importe quelle version je n'ai JAMAIS été emmerdé par une faille de sécuritée, il faut arrété de répéter betement se que les gens disent.
C'est bizarre, pour toutes failles de sécuritée trouvée, j'ai eu droit aux mises a jours 1 semaine voir 2 mais pas plus serais-je le seul ? Non je ne pense pas, arrete les conneries dès que Microsoft apprend l'éxistence d'une faille de sécuritée ils éssayent de la corriger.

Je me rappelle qu'il n'y a pas tres longtemp une faille a été corrigée quand même un mois apres avoir été trouvée (dans le libre mais je ne sais plus quel soft) donc bon...

(Je ne suis pas du tout contre les logiciels libres mais contres les gens comme vous qui ne font que répéter ce qu'ont leurs dit sans connaître réellement le sujet).

oui, t'es le seul... regarde sur les sites de sécurité, type secunia. En moins de 5 minutes, j'ai trouvé celle-ci, faille hautement critique (alors que si on fait uen recherche sur la noyau linux 2.6, aucune faille n'atteint cette qualification), datant de plus de 1 an et encore non patchée...

Et faut tenir compte de la dangerosité de la faille, généralement, quand on entend parler d'une faille dans le noyau linux, elle est rarement exploitable autrement qu'avec un accès physique à la machine...
Si fais un résumé des chiffres Secunia :
- Linux (kernel) + KDE (bureau le plus utilisé) + Konqueror (navigateur web de KDE) : 77 alertes, 30 non patchés, dont aucune critique.
- Windows XP Pro + Internet Explorer 6.x : 188 alertes, 35 non patchés, dont plusieurs hautement critiques.

En plus, ce calcul est encore au désavantage du libre, car dans KDE, sont comptés plein d'autres logiciels (bureautique, messagerie instantanée, etc..)

de toute façon, même si la sécurité des logiciels libres étaient moins bonnes, il leur resterais encore plein d'intérêt...