Linus Torvalds et les « putains de crétins » de la sécurité

Le créateur de Linux est fâché contre certains experts en sécurité. Avec son style sans filtre, il les accuse d’avoir une approche destructrice des process, plutôt que de penser débogage.

Linus Torvalds n’a pas apprécié les initiatives d’un spécialiste de la sécurité et l’a fait savoir. Pendant le week-end, un développeur de Google Pixel, Kees Cook a soumis une pull request sur la sécurisation des listes blanches sur la fonctionnalité Usercopy de la version 4.15 –rc1 du Kernel Linux. Face à des listes blanches manquantes, Cook propose d’ajouter un mode de repli.

Le fondateur de Linux estime que ces requêtes de repli « peuvent être très douloureuses », car il faut consacrer du temps à les examiner surtout quand elles touchent des éléments de base. Il ajoute « je ne fais pas confiance aux spécialistes de la sécurité pour faire les choses de manière propre ».

L’affaire aurait pu en rester là, mais d’autres contributeurs comme Paolo Bonzini, mainteneur de KVM a encouragé Linus Torvalds à prendre en compte le code de Cook. Ce dernier a tenté une approche plus diplomatique en demandant au gourou son aval et la meilleure façon d’installer son code.

La sécurité pensée en mode débogage

La réponse a été encore plus directe de la part de Linus Torvalds. « C’est le genre de comportement des spécialistes de la sécurité qui est inacceptable et que nous avons depuis la sécurisation des accès. Une initiative beaucoup plus douloureuse que nous pensions ». Il poursuit sa diatribe, « il est inacceptable que des responsables de la sécurité établissent des nouvelles règles magiques, qui mettent la panique dans le noyau quand ces règles sont violées. C’est une pure connerie, nous avons vécu plus d’un quart de siècle sans ces règles. Vous ne pouvez pas venir et dire « oh tout le monde doit faire comme cela et si vous ne le faites pas, nous tuons le noyau ».

Pour lui, les spécialistes de la sécurité doivent comprendre que leurs solutions ne doivent pas bloquer le développement en éliminant certains process. Ils doivent adopter une approche de débogage. Linus Torvalds l’avait déjà indiqué, « les problèmes de sécurité sont avant tout des bugs ». Une phrase raillée par certains experts en sécurité, lesquels prennent aujourd’hui une volée de bois vert, en se faisant qualifier par Linus Torvalds de « putains de crétins ».

Aboutir au DevSecOps ?

Cook ne s’est pas laissé démonter par le langage fleuri du fondateur en reconnaissant des erreurs dans son analyse et sa façon de procéder. « Je pense que j’ai appris quelque chose depuis que j’ai modifié cette série, avant que tu ne me cries dessus J ». Et d’ajouter, « je vais faire d’autres ajustement et réessayer sur la v4.16 ».

La sortie de Linus Torvalds montre les rapports de plus en plus importants et parfois conflictuels entre les développeurs et les spécialistes de la sécurité. Même à l’heure du DevOps, la brique de sécurisation prend une place de plus en plus grande au point d’en devenir un nouveau concept : le DevSecOps. L’idée est d’intégrer la question de la sécurité sur l’ensemble du cycle de vie de l’application, du développement à la mise en production. Faut-il encore que l’ensemble des personnes parlent le même langage ?

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s