Le système d’exploitation du serveur Linux, utilisé à l’échelle mondiale pour alimenter Internet, ainsi que le stockage cloud, les opérations commerciales back-end, les systèmes embarqués et les superordinateurs haute performance, ont une réputation ternie de sécurité et de gestion des correctifs d’entreprise. Ces deux éléments de sécurité Linux représentent une vulnérabilité importante.
La croyance généralisée en «l’invincibilité» de Linux a créé une culture de complaisance. La société de sécurité et de formation, de certification et de recherche informatique Sans Institute a averti à plusieurs reprises que les mises à jour ignorées ou retardées quittent régulièrement des serveurs critiques, y compris les systèmes de bases de données, exposés à des exploits connus.
Beaucoup de ces vulnérabilités persistent pendant des années, ce qui met en danger des entreprises entières. Dans un seul exemple, un bug de 12 ans dans l’utilitaire de ligne de commande sudo afflige toujours les utilisateurs de Linux. Une paire de défauts, non découvertes pendant près de 10 ans, permet un accès racine involontaire sur les systèmes Ubuntu et Debian, ce qui provoque des correctifs urgents dans les environnements d’entreprise.
Selon Deepak Kumar, fondateur et PDG d’Adaptiva, les trois principales menaces négligées (mais critiques) ciblant Linux aujourd’hui sont des noyaux dépassés, des serveurs mal configurés et des vulnérabilités de la chaîne d’approvisionnement.
«Les noyaux obsolètes peuvent être non corrigées pendant des mois, laissant la porte ouverte aux attaquants. Les services mal configurés, en particulier dans les conteneurs ou dans le cloud, sont des cibles faciles. Les vulnérabilités de la chaîne d’approvisionnement dans les outils open-source volent souvent sous le radar jusqu’à exploiter», a-t-il déclaré à LinuxInsider.
Adaptiva, une entreprise autonome de gestion des points de terminaison (AEM), a développé ce que Kumar a appelé une meilleure approche pour résoudre ces problèmes. Les cycles de patchs lents, les équipes de sécurité et d’opérations à claire et de peur de l’assainissement des temps d’arrêt.
La correction de la gestion du code lent nécessite de construire des tests de sécurité continus dans le développement et la réalisation de correctifs automatisés une partie standard du déploiement. « L’automatisation de l’extension aux plates-formes Linux clés réduit également les barrières manuelles et les vitesses de la réparation », a déclaré Kumar.
Vitesses d’automatisation Gestion des patchs Linux
L’automatisation élimine les retards et les lacunes qui laissent les systèmes Linux vulnérables. La recherche montre que 77% des organisations prennent plus d’une semaine pour déployer des patchs, tandis que les attaquants frappent en seulement cinq jours.
«L’automatisation aide à valider, hiérarchiser et déployer des correctifs rapidement – souvent en heures au lieu de mois – et vous permet même de faire reculer les mises à jour si quelque chose ne va pas», a-t-il expliqué.
Ignorer ou reporter les patchs a des conséquences dangereuses. L’inaction a toujours un coût, a averti Kumar.
« Au début, les systèmes non corrigées sont des cibles faciles pour des exploits simples et bien connus. Mais au fil du temps, ces vulnérabilités restent, obligeant les organisations à rester sur des logiciels obsolètes, rendant les mises à niveau plus difficiles et toute violation plus préjudiciable. Elle peut également augmenter les coûts », a-t-il expliqué.
Kumar a offert plusieurs meilleures pratiques pour les agents de cybersécurité (OSC) et le personnel informatique à mettre en œuvre. Ce processus commence par une découverte complète des actifs pour bien comprendre l’environnement informatique de l’entreprise.
Il a averti que le passage du manuel à des correctifs automatisés oblige les équipes et les équipes de sécurité à s’aligner et à communiquer. Le bon partenaire fournit des tableaux de bord pour la visibilité, automatise les correctifs basés sur les risques sur les plates-formes, s’intègre aux outils de vulnérabilité et offre un recul pour réduire les perturbations. Lorsque cette fondation est définie, tout le monde en profite.
«Des solutions comme le correctif en ouverte d’Adaptiva fournissent des correctifs unifiés et autonomes à travers Windows, Mac et Linux sans installations de logiciels supplémentaires, soutenus par un catalogue de correctif activement entretenu et des intégrations d’exposition pour aider à maintenir le contrôle à grande échelle», a-t-il suggéré.
Les idées fausses de la sécurité Linux persistent
Selon Kumar, c’est une idée fausse fatale de croire que tous les systèmes Linux sont intrinsèquement plus sûrs que les autres OSE.
«La forte communauté open source de Linux, les correctifs en amont rapide et moins d’utilisateurs de bureau ont fait semblant d’une cible moins tentante», a-t-il corrigé, ajoutant que les administrateurs du système voient généralement plus d’attaques Windows.
« Il est donc facile de penser que Linux prend soin de lui-même. Mais cela néglige le fait que les composants du serveur critiques méritent beaucoup plus d’attention en raison de l’impact potentiel », a-t-il conseillé.
Ironiquement, la perception erronée de «l’invincibilité» devient son plus grand angle mort de sécurité. Lorsque les gens supposent que Linux est sûr par défaut, les priorités élevées telles que le correctif, la surveillance et la numérisation de la vulnérabilité sont poussées dans la liste.
«Cette fausse confiance est dangereuse car cela signifie que certaines vulnérabilités persistent pendant des années.
Pourquoi la sécurité Linux est toujours négligée
La complaisance n’est pas le seul problème. La pression de l’entreprise pour maintenir la disponibilité du système est souvent prioritaire sur la sécurité lors de la prise de décisions difficiles.
« Ajoutez une pénurie de talents qualifiés, les mauvais outils et un manque de visibilité claire entre l’informatique et les équipes de sécurité, et il est facile de voir comment le correctif finit par être dépréné et glisse sur la liste », a suggéré Kumar.
La mentalité «le remettre jusqu’à plus tard» découle de plusieurs causes. La première est que les vulnérabilités connues nécessitent souvent des tests approfondis dans diverses distributions Linux. De plus, les tests de correctifs impliquent des charges de travail critiques pour s’assurer qu’elles peuvent être appliquées en toute sécurité sans perturber les opérations.
« C’est un équilibre minutieux, ce qui signifie que ces correctifs peuvent parfois être déprénés », a-t-il déclaré. «Bien que les vulnérabilités zéro-jour nécessitent une attention immédiate, les problèmes connus, malheureusement, créent des opportunités à faible risque et à forte récompense pour les attaquants. Celles-ci peuvent rester non traitées pendant des années sinon correctement gérées.»
