Les utilisateurs de Linux vantent souvent la supériorité en matière de sécurité des logiciels open source. Avec un code accessible à tous, de nombreux experts scrutent les potentielles vulnérabilités. À l'opposé, la « sécurité par l'obscurité » repose sur la confidentialité du code, réservée aux développeurs, excluant ainsi les acteurs malveillants.
Ce débat, bien plus ancien que l'informatique elle-même, transcende Linux. Une approche est-elle objectivement supérieure, ou les deux ont-elles leurs mérites ?
La sécurité par l'obscurité utilise le secret pour protéger les composants d'un système. C'est l'approche partielle des géants comme Microsoft, Apple et Google pour leurs OS phares. L'idée : si les attaquants ignorent l'existence d'une faille, ils ne peuvent l'exploiter.
Le code de Windows ou macOS reste inaccessible au grand public. Android ouvre ses bases, mais garde ses apps propriétaires ; Chrome OS distingue Chrome de Chromium par des éléments fermés.
Sans visibilité sur le code, nous dépendons de la parole des éditeurs. Leur sécurité peut être exemplaire (comme les services Google) ou comporter des failles persistantes.
Seule, cette méthode est insuffisante, comme le stipule le principe de Kerckhoff en cryptographie (fin XIXe siècle) : un système doit rester sécurisé même si ses mécanismes sont connus. Claude Shannon (XXe siècle) renforce cela : concevez en assumant que l'adversaire maîtrise le système.
Déjà en 1850, le serrurier Alfred Hobbs démontrait la fragilité des serrures « secrètes ». Les experts en crochetage percent vite les mystères. Les correctifs réguliers sur Windows ou macOS prouvent que le secret ne suffit pas.
Ces entreprises complètent le secret par des investissements massifs : bounties chez Google pour Chrome, audits internes. Le secret agit comme première barrière, ralentissant les assaillants.
Mais les menaces internes existent, comme la collecte de données sous Windows 10 par Microsoft, opaque par nature.
Avec un code public, « plus d'yeux » détectent les bugs et backdoors. Des experts en sécurité veillent, libérant les utilisateurs finaux de cette charge.
Cependant, des failles comme Heartbleed persistent des années malgré l'exposition. Tout code n'est pas scruté ; l'ennui guette même les pros. Linux excelle grâce à son écosystème (Google, IBM, gouvernements), ses améliorations collaboratives et son usage critique (serveurs). Les paranoïaques apprécient l'audit personnel impossible sur OS fermés.
Consensus en chiffrement : algorithmes ouverts, clés privées. Pour les OS, le débat persiste. La vitesse de détection/correction compte autant que l'ouverture.
La fermeture de Windows/macOS vous inquiète-t-elle ? Les utilisez-vous malgré tout ? Partagez votre avis !
