Trop de distributions anciennes et donc vulnérables. Malgré son succès, Linux ne fête pas son trentième anniversaire dans la sérénité.

Gare aux distributions anciennes ! Les alertes de sécurité collectées par Trend Micro sur les serveurs Linux durant le premier semestre laissent apparaître une part importante d’OS en fin de vie.

En trente ans, Linux a su conquérir les entreprises, le cloud et les supercalculateurs. Ainsi 100 % des HPC du TOP500 fonctionnent sous Linux. Plus de 50 % des 1000 principaux sites Web s’appuient également sur Linux. Plus de 19 millions de systèmes Linux exposeraient leur port SSH sur Internet. Et 61 % des systèmes d’entreprise aujourd’hui protégés par Trend Micro Cloud One fonctionnent sous Linux contre 39 % sous Windows Server.

En distributions RHEL en ligne de mire

En tête des distributions, RHEL (Red Hat Entreprise Linux) est de -très loin- la distribution serveur la plus populaire devant celle d’AWS, Ubuntu et CentOS. Ce sont donc, sans surprise, les vieilles distributions RHEL qui sont les plus menacées.

22,59 % des incidents sur RHEL 7, a relevé Trend Micro. Le support complet de cette distribution a pris fin en août 2019. Elle est désormais en phase dite «maintenance» (correctifs de sécurité, mais plus de mises à jour de fonctionnalités), jusqu’au 30 juin 2024. Deux ans supplémentaires seront possibles… moyennant paiement. On est déjà à ce stade pour les versions Arm, POWER9 et System z.

Les serveurs Linux, cibles des cryptomineurs

Le deuxième indicateur se fonde les détections de menaces (13 millions d’événements de sécurité). Dans la catégorie «anciens OS», CentOS domine (les versions 7.4 à 7.9 regroupent près de 44 % du total des détections). Suivent CloudLinux Server (environ 40 %) et Ubuntu Server (7 %).

En se focalisant sur les dix principales familles de menaces, les détections se répartissent ainsi :

24,56 % de cryptomineurs

19,92 % de webshells

11,56 % de ransomwares (DoppelPaymer en tête, les serveurs Linux faisant souvent office de relais pour infecter des systèmes Windows)

9,65 % de trojans

3,15 % d’autres souches

Du code… ancestral

Autre classement intéressant, celui des containers contenant le plus de vulnérabilités. Pour cela, l’éditeur de sécurité s’est intéressé aux 15 images Dockers les plus populaires (donc les plus téléchargées et utilisées). Python, Node et WordPress arrivent en tête, ce qui est particulièrement inquiétant puisqu’elles servent de fondation à bien des applications d’entreprise aujourd’hui.

Bref, contrairement à certains mythes, Linux n’est pas imperméables aux risques et menaces d’Internet. Comme tout vaste assemblage logiciel, sa surface d’attaque est étendue. Ses trente ans d’existence se concrétisent aussi par du code ancestral qui peut se révéler vulnérable et par des fonctionnalités nouvelles sans cesse ajoutées qui introduisent mécaniquement des risques supplémentaires. Par ailleurs même si sa nature Open Source tend à accélérer l’apparition des patchs, trop d’entreprises continuent à utiliser sur des périodes étendues des versions non totalement patchées.