Le 13 mai dernier, une annonce a fait grand bruit en ce qui concerne Debian, et par la même, Ubuntu, Xandros, etc… Une faille de sécurité a été découverte, mais ce n’est pas tant la faille qui est gênante, c’est la cause et le temps qu’il a fallu pour la découvrir: 2 ans !

Cette faille provient d’une correction de bug faite par les mainteneurs de Debian, et d’un mauvais contrôle (habituel chez Debian) des packageurs… Et comme, encore une fois, Debian (et donc Ubuntu etc…) continue à ne pas mettre à jour les versions de OpenSSL, SSH, pour des raisons de “sécurité”, on peut comprendre l’ironie du sort. On retombe sur un vieux sujet que j’ai exploité sur mon blog il y a quelques semaines (avec trop de virulence de ma part, je l’admets). Mais c’est typiquement ce genre de soucis qui me fait reculer devant Debian, Ubuntu et consort.

Pourtant, la dernière Ubuntu (8.04 LTS Hardy Heron) est très bien faite, jolie, clair, fonctionnelle, et elle répond aux attentes des utilisateurs finaux. Un de mes collègues en est très content d’ailleurs. Elle donne accès à un Linux “pour tout le monde”. Mais si c’est pour reproduire ce qu’une grosse firme nous a fait en terme de sécurité (suivez mon regard vers Redmond) alors l’image de marque Linuxienne va en prendre un coup. Et je ne peux pas cautionner. Linux fait sa réputation sur la stabilité, la sécurité et le fonctionnel… Avec cette bourde, il ne reste plus que le 3ème point.

Clairement, je reviens sur mes propos anti-Ubuntu et je m’excuse d’avoir été si méchant, mais je reste sur mes positions concernant la qualité interne des système Debian.

La source de la news: http://linuxfr.org/2008/05/15/24092.html et l’annonce de sécurité Debian: http://lists.debian.org/debian-security-announce/2008/msg00152.html