Linux Mint n'est pas sécurisé, selon un développeur Ubuntu employé par Canonical qui dit qu'il ne ferait pas ses opérations bancaires en ligne sur un PC Linux Mint. Le développeur allègue que Linux Mint «pirate» des mises à jour importantes. Est-ce un vrai problème ou simplement de la peur?
Le développeur Ubuntu impliqué s'est trompé sur certains faits et a endommagé son propre cas, mais il y a encore un vrai argument à avoir ici. Ubuntu et Linux Mint gérer les mises à jour de différentes manières, et chacune a ses propres compromis.
Allégations d'un développeur Ubuntu
Oliver Grawert, un développeur Ubuntu employé par Canonical, a commencé la guerre verbale avec ce message sur la liste de diffusion des développeurs Ubuntu. Dans ce document, il a déclaré que les mises à jour de sécurité «sont explicitement piratées de Linux Mint pour Xorg, le noyau, Firefox, le chargeur de démarrage et divers autres paquets».
Il a fourni un lien vers le fichier de règles Mint Update , indiquant qu'il s'agit d'une «liste de packages [Mint] qui ne seront jamais mis à jour». Ceci est incorrect - le fichier fait quelque chose de plus compliqué que cela, mais nous y reviendrons plus tard. Il a poursuivi: "Je dirais que le fait de garder en place un navigateur noyau vulnérable ou xorg au lieu de permettre aux mises à jour de sécurité fournies d'être l'installateur [sic] en fait un système vulnérable ... Personnellement, je ne ferais pas de banque en ligne avec;)".
Certaines de ces allégations sont totalement fausses. Il est vrai que Linux Mint bloque les mises à jour pour les packages tels que le serveur graphique X.org, le noyau Linux et le chargeur de démarrage par défaut. Cependant, ces mises à jour ne sont pas «piratées à partir de Linux Mint», comme nous le montrerons plus tard. Linux Mint ne bloque pas non plus les mises à jour de Firefox. Les mises à jour du navigateur Web Firefox sont importantes pour la sécurité du monde réel et sont autorisées par défaut. Les allégations de ce développeur Ubuntu sont donc hors sujet. Cependant, il y a encore un vrai argument ici - Linux Mint bloque certains types de mises à jour de sécurité par défaut.
Réponse de Linux Mint
Le fondateur et développeur principal de Linux Mint, Clement Lefebvre, a répondu à ces accusations avec a blog post . Dans ce document, il souligne que le développeur Ubuntu s'est trompé sur les allégations que nous avons expliquées ci-dessus. Il clarifie également la raison pour laquelle Linux Mint a exclu les mises à jour de certains packages par défaut:
«Nous avons expliqué en 2007 quelles étaient les lacunes de la façon dont Ubuntu recommande à ses utilisateurs d'appliquer aveuglément toutes les mises à jour disponibles. Nous avons expliqué les problèmes associés aux régressions et nous avons mis en œuvre une solution dont nous sommes très satisfaits. "
Firefox est automatiquement mis à jour par Linux Mint, tout comme par Ubuntu. En fait, les deux distributions utilisent le même package qui provient du même référentiel.
L'argument principal de Linux Mint est que la mise à jour «aveugle» de packages tels que le serveur graphique X.org, le chargeur de démarrage et le noyau Linux peuvent causer des problèmes. Les mises à jour de ces packages de bas niveau peuvent introduire des bogues sur certains types de matériel, tandis que les problèmes de sécurité qu’ils résolvent ne sont pas réellement un problème pour les personnes qui utilisent Linux Mint à la maison. Par exemple, de nombreuses failles de sécurité dans le noyau Linux sont des vulnérabilités d '«élévation des privilèges locaux». Ils peuvent permettre aux utilisateurs disposant d'un accès limité à l'ordinateur de devenir l'utilisateur root et d'obtenir un accès complet, mais ils ne peuvent pas être facilement exploités à partir d'un navigateur Web comme un problème de sécurité en Java pourrait.
Est-ce vraiment un problème?
Les deux parties ont de bons arguments. D'une part, il est absolument vrai que Linux Mint désactive les mises à jour de sécurité pour certains packages par défaut. Cela laisse un système Mint avec des vulnérabilités de sécurité plus connues, qui pourraient théoriquement être exploitées.
D'un autre côté, il est vrai que ces failles de sécurité ne sont pas activement exploitées. Linux Mint met à jour les logiciels qui sont réellement attaqués, comme les navigateurs Web. Il est également vrai que les mises à jour de X.org ont causé des problèmes dans le passé. En 2006, une mise à jour d'Ubuntu a cassé le serveur X de nombreux utilisateurs d'Ubuntu qui l'ont installé, les forçant à entrer dans le terminal Linux. Les utilisateurs concernés ont dû réparer leurs systèmes à partir du terminal. La politique de Linux Mint sur les mises à jour a été énoncée juste un an plus tard en 2007, il est donc probable que cet épisode ait affecté la position actuelle de Linux Mint.
Si vous êtes un utilisateur de bureau à domicile, vous ne serez probablement pas compromis à cause d'une faille dans le noyau Linux. Bien entendu, si vous exécutez un serveur exposé à Internet ou exploitez un poste de travail professionnel auquel vous souhaitez restreindre l’accès, vous devez vous assurer que toutes les mises à jour de sécurité possibles sont installées.
Contrôle des mises à jour de sécurité dans Linux Mint
Tout utilisateur de Linux Mint qui préfère disposer de toutes les mises à jour de sécurité que les utilisateurs d’Ubuntu reçoivent peut les activer à partir du gestionnaire de mise à jour de Mint. Ces mises à jour ne sont pas "piratées", mais sont simplement désactivées par défaut.
Pour contrôler ce paramètre, ouvrez l'application Update Manager à partir du menu de votre environnement de bureau. Cliquez sur le menu Edition et sélectionnez Préférences. Vous pourrez alors choisir les «niveaux» de packages que vous souhaitez installer. Les «niveaux» sont définis dans le fichier de règles de mise à jour de Mint que nous avons mentionné précédemment. Les niveaux 1 à 3 sont activés par défaut, tandis que les niveaux 4 à 5 sont désactivés par défaut. Firefox est un package de niveau 2, mis à jour par défaut. X.org et le noyau Linux sont respectivement de niveau 4 et 5, ils ne sont donc pas mis à jour par défaut.
Activez les niveaux 4 et 5 et vous obtiendrez les mêmes mises à jour que dans Ubuntu - provenant des propres référentiels de mise à jour d'Ubuntu - mais vous serez plus à risque de «régressions» qui introduisent des problèmes.
Le vrai désaccord ici est d'ordre philosophique. Ubuntu se trompe du côté de la mise à jour de tout par défaut, éliminant toutes les vulnérabilités de sécurité possibles - même celles qui sont peu susceptibles d'être exploitées sur les systèmes des utilisateurs à domicile. Linux Mint se trompe en excluant les mises à jour qui pourraient potentiellement causer des problèmes.
La solution que vous préférez dépendra de l'utilisation que vous faites de votre ordinateur et de votre degré de maîtrise des risques.
