Les entreprises investissent beaucoup de temps, d’efforts et d’argent pour assurer la sécurité de leurs systèmes. Les plus soucieuses de la sécurité pourraient disposer d’un centre d’opérations de sécurité. Elles utilisent bien sûr des pare-feu et des outils antivirus. Elles passent probablement beaucoup de temps à surveiller leurs réseaux, à la recherche d’anomalies révélatrices d’une violation. Avec les IDS, les SIEM et les NGFW, ils déploient un véritable alphabet de défenses.
Mais combien ont réfléchi à l’une des pierres angulaires de leurs opérations numériques : les systèmes d’exploitation déployés sur les PC des employés ? La sécurité a-t-elle même été prise en compte lors du choix du système d’exploitation du poste de travail ?
Ceci soulève une question à laquelle tout responsable informatique devrait pouvoir répondre : Quel système d’exploitation est le plus sûr pour un déploiement général ?
Nous avons demandé à quelques experts ce qu’ils pensent de la sécurité de ces trois choix : Windows, la plateforme de plus en plus complexe qui est facilement le système de bureau le plus populaire ; macOS X, le système d’exploitation FreeBSD basé sur Unix qui alimente les systèmes Macintosh d’Apple ; et Linux, par lequel nous entendons toutes les diverses distributions Linux et les systèmes connexes basés sur Unix.
Comment nous en sommes arrivés là
Une raison pour laquelle les entreprises pourraient ne pas avoir évalué la sécurité du système d’exploitation qu’elles ont déployé sur le personnel est qu’elles ont fait ce choix il y a des années. Si l’on remonte assez loin dans le temps, tous les systèmes d’exploitation étaient raisonnablement sûrs, car l’activité consistant à les pirater et à voler des données ou à installer des logiciels malveillants en était à ses débuts. Et une fois que le choix du système d’exploitation est fait, il est difficile d’envisager un changement. Peu d’organisations informatiques souhaitent avoir le casse-tête de faire passer un personnel dispersé dans le monde entier à un système d’exploitation entièrement nouveau. D’ailleurs, elles reçoivent suffisamment de critiques lorsqu’elles font passer les utilisateurs à une nouvelle version de leur système d’exploitation de prédilection.
Pour autant, serait-il judicieux de reconsidérer la question ? Les trois principaux OS de bureau sont-ils suffisamment différents dans leur approche de la sécurité pour qu’un changement en vaille la peine ?
Certes, les menaces auxquelles sont confrontés les systèmes d’entreprise ont changé ces dernières années. Les attaques sont devenues beaucoup plus sophistiquées. Le pirate adolescent solitaire qui dominait autrefois l’imagination du public a été supplanté par des réseaux bien organisés de criminels et d’organisations obscures, financées par le gouvernement et disposant de vastes ressources informatiques.
Comme beaucoup d’entre vous, j’ai une expérience directe des menaces qui existent : J’ai été infecté par des logiciels malveillants et des virus sur de nombreux ordinateurs Windows, et j’ai même eu des macro-virus qui ont infecté des fichiers sur mon Mac. Plus récemment, un piratage automatisé très répandu a contourné la sécurité de mon site web et l’a infecté avec des logiciels malveillants. Les effets de ces logiciels malveillants étaient toujours subtils au départ, quelque chose que vous ne remarquiez même pas, jusqu’à ce que le logiciel malveillant soit si profondément ancré dans le système que les performances commençaient à en souffrir sensiblement. Une chose frappante à propos de ces infestations est que je n’ai jamais été spécifiquement ciblé par les mécréants ; de nos jours, il est aussi facile d’attaquer 100 000 ordinateurs avec un botnet que d’en attaquer une douzaine.
Le système d’exploitation est-il vraiment important ?
Le système d’exploitation que vous déployez pour vos utilisateurs fait effectivement une différence pour votre position de sécurité, mais ce n’est pas une garantie sûre. D’une part, de nos jours, une brèche est plus susceptible de se produire parce qu’un attaquant a sondé vos utilisateurs, et non vos systèmes. Une enquête menée auprès de pirates informatiques ayant participé à une récente conférence DEFCON a révélé que « 84 % d’entre eux utilisent l’ingénierie sociale dans le cadre de leur stratégie d’attaque ». Le déploiement d’un système d’exploitation sécurisé est un point de départ important, mais sans l’éducation des utilisateurs, des pare-feu puissants et une vigilance constante, même les réseaux les plus sécurisés peuvent être envahis. Et bien sûr, il y a toujours le risque de logiciels téléchargés par l’utilisateur, d’extensions, d’utilitaires, de plug-ins et d’autres logiciels qui semblent bénins mais qui deviennent un chemin pour l’apparition de logiciels malveillants sur le système.
Et quelle que soit la plateforme que vous choisissez, l’un des meilleurs moyens de sécuriser votre système est de veiller à appliquer rapidement les mises à jour logicielles. Une fois qu’un correctif est dans la nature, après tout, les pirates peuvent en faire l’ingénierie inverse et trouver un nouvel exploit qu’ils pourront utiliser dans leur prochaine vague d’attaques.
Et n’oubliez pas les bases. N’utilisez pas de root, et n’accordez pas d’accès invité aux serveurs même les plus anciens du réseau. Apprenez à vos utilisateurs à choisir de très bons mots de passe et armez-les d’outils tels que 1Password qui leur permettent d’avoir plus facilement des mots de passe différents sur chaque compte et site web qu’ils utilisent.
Parce que l’essentiel est que chaque décision que vous prenez concernant vos systèmes affectera votre sécurité, même le système d’exploitation sur lequel vos utilisateurs font leur travail.
Windows, le choix populaire
Si vous êtes un responsable de la sécurité, il est extrêmement probable que les questions soulevées par cet article puissent être reformulées ainsi : Serions-nous plus en sécurité si nous nous éloignions de Microsoft Windows ? Dire que Windows domine le marché des entreprises est un euphémisme. NetMarketShare estime qu’un pourcentage stupéfiant de 88 % de tous les ordinateurs sur Internet exécutent une version de Windows.
Si vos systèmes font partie de ces 88 %, vous savez probablement que Microsoft a continué à renforcer la sécurité du système Windows. Parmi ses améliorations, il y a eu la réécriture et la réécriture de la base de code de son système d’exploitation, l’ajout de son propre système de logiciel antivirus, l’amélioration des pare-feu et la mise en œuvre d’une architecture sandbox, où les programmes ne peuvent pas accéder à l’espace mémoire du système d’exploitation ou d’autres applications.
Mais la popularité de Windows est un problème en soi. La sécurité d’un système d’exploitation peut dépendre dans une large mesure de la taille de sa base installée. Pour les auteurs de logiciels malveillants, Windows offre un terrain de jeu énorme. Se concentrer sur lui leur permet de rentabiliser au maximum leurs efforts.
Comme l’explique Troy Wilkinson, PDG d’Axiom Cyber Solutions, « Windows arrive toujours en dernier dans le monde de la sécurité pour un certain nombre de raisons, principalement en raison du taux d’adoption par les consommateurs. Avec un grand nombre d’ordinateurs personnels basés sur Windows sur le marché, les pirates ont historiquement ciblé ces systèmes le plus. »
Il est certainement vrai que, de Melissa à WannaCry et au-delà, une grande partie des logiciels malveillants que le monde a vus visaient les systèmes Windows.
macOS X et la sécurité par l’obscurité
Si le système d’exploitation le plus populaire sera toujours la plus grande cible, alors l’utilisation d’une option moins populaire peut-elle assurer la sécurité ? Cette idée est une nouvelle prise sur l’ancien – et entièrement discrédité – concept de « sécurité par l’obscurité », qui soutenait que garder le fonctionnement interne du logiciel propriétaire et donc secret était la meilleure façon de se défendre contre les attaques.
Wilkinson affirme carrément que macOS X « est plus sûr que Windows », mais il s’empresse d’ajouter que « macOS était considéré comme un système d’exploitation entièrement sécurisé avec peu de chances de failles de sécurité, mais au cours des dernières années, nous avons vu des pirates élaborer des exploits supplémentaires contre macOS. »
En d’autres termes, les attaquants se ramifient et n’ignorent pas l’univers Mac.
Le chercheur en sécurité Lee Muson, de Comparitech, affirme que « macOS est susceptible d’être le choix de prédilection » lorsqu’il s’agit de choisir un système d’exploitation plus sûr, mais il prévient qu’il n’est pas impénétrable, comme on le pensait autrefois. Son avantage est qu' »il bénéficie encore d’une touche de sécurité par l’obscurité par rapport à la cible encore beaucoup plus grande que présente l’offre de Microsoft. »
Joe Moore, de Wolf Solutions, accorde un peu plus de crédit à Apple, en déclarant que « sur le marché, macOS X a un excellent bilan en matière de sécurité, en partie parce qu’il n’est pas aussi largement ciblé que Windows et en partie parce qu’Apple fait un assez bon travail pour rester à la pointe des problèmes de sécurité. »
Et le gagnant est…
Vous le saviez probablement depuis le début : Le consensus clair parmi les experts est que Linux est le système d’exploitation le plus sûr. Mais alors que c’est le système d’exploitation de choix pour les serveurs, les entreprises qui le déploient sur le bureau sont peu nombreuses.
Et si vous décidiez que Linux était la voie à suivre, vous auriez encore à décider quelle distribution du système Linux choisir, et les choses se compliquent un peu là. Les utilisateurs vont vouloir une interface utilisateur qui leur semble familière, et vous allez vouloir le système d’exploitation le plus sécurisé.
Comme l’explique Moore, « Linux a le potentiel d’être le plus sécurisé, mais nécessite que l’utilisateur soit quelque chose de puissant. » Donc, pas pour tout le monde.
Les distros Linux qui ciblent la sécurité comme une caractéristique principale comprennent Parrot Linux, une distro basée sur Debian qui, selon Moore, fournit de nombreux outils liés à la sécurité dès la sortie de la boîte.
Bien sûr, un différentiateur important est que Linux est open source. Le fait que les codeurs puissent lire et commenter le travail des autres peut sembler être un cauchemar en matière de sécurité, mais il s’avère en fait être une raison importante pour laquelle Linux est si sûr, déclare Igor Bidenko, CISO de Simplex Solutions. « Linux est le système d’exploitation le plus sûr, car sa source est ouverte. N’importe qui peut l’examiner et s’assurer qu’il n’y a pas de bogues ou de portes dérobées. »
Wilkinson développe que « les systèmes d’exploitation basés sur Linux et Unix ont moins de failles de sécurité exploitables connues du monde de la sécurité informatique. Le code de Linux est révisé par la communauté technologique, ce qui se prête à la sécurité : En ayant autant de surveillance, il y a moins de vulnérabilités, de bugs et de menaces. »
C’est une explication subtile et peut-être contre-intuitive, mais en ayant des dizaines – ou parfois des centaines – de personnes qui lisent chaque ligne de code du système d’exploitation, le code est en fait plus robuste et les chances que des failles se glissent dans la nature sont diminuées. Cela explique en grande partie pourquoi PC World a déclaré sans ambages que Linux était plus sûr. Comme l’explique Katherine Noyes, « Microsoft peut bien vanter les mérites de sa grande équipe de développeurs rémunérés, mais il est peu probable que cette équipe puisse se comparer à la base mondiale de développeurs-utilisateurs de Linux dans le monde entier. La sécurité ne peut que bénéficier de tous ces globes oculaires supplémentaires. »
Un autre facteur cité par PC World est le meilleur modèle de privilèges utilisateur de Linux : Les utilisateurs de Windows « reçoivent généralement un accès administrateur par défaut, ce qui signifie qu’ils ont à peu près accès à tout sur le système », selon l’article de Noyes. Linux, en revanche, restreint considérablement l’accès à la « racine ».
Noyes a également noté que la diversité possible au sein des environnements Linux constitue une meilleure protection contre les attaques que la monoculture typique de Windows : Il y a simplement beaucoup de distributions différentes de Linux disponibles. Et certaines d’entre elles sont différenciées de manière à répondre spécifiquement aux problèmes de sécurité. Le chercheur en sécurité Lee Muson de Comparitech propose cette suggestion de distribution Linux : « Le système d’exploitation Qubes est le meilleur point de départ avec Linux que vous puissiez trouver actuellement, avec un soutien d’Edward Snowden qui éclipse massivement ses propres revendications extrêmement humbles. » D’autres experts en sécurité soulignent les distributions Linux sécurisées spécialisées telles que Tails Linux, conçues pour fonctionner de manière sécurisée et anonyme directement à partir d’une clé USB ou d’un périphérique externe similaire.
Construire une dynamique de sécurité
L’inertie est une force puissante. Bien qu’il y ait un consensus clair que Linux est le choix le plus sûr pour le bureau, il n’y a pas eu de ruée pour abandonner les machines Windows et Mac en sa faveur. Néanmoins, une augmentation faible mais significative de l’adoption de Linux se traduirait probablement par une informatique plus sûre pour tous, car la perte de parts de marché est un moyen sûr d’attirer l’attention de Microsoft et d’Apple. En d’autres termes, si suffisamment d’utilisateurs passent à Linux sur le bureau, il est très probable que les PC Windows et Mac deviennent des plateformes plus sûres.