Je me tape l'incruste pour réagir un peu. Je ne suis pas totalement d'accord : si jamais on te démontre que le noyau Linux est une passoire, es-tu sûr que tu ne chercherais pas autre chose ? L'aspect sécurité d'un outil n'est certes pas le seul aspect à prendre en compte mais comme dans tout, il y a des notes éliminatoires et donc le débat peut et doit avoir lieu.
Il n'empêche que l'article de Denis est extrémement (volontairement ?) simpliste. Rien que les nombres sont complétement fantaisiste, car ils ne comptent que les entrées dans la liste du CERT-FR. Or, une entrée peut contenir plusieurs vulnérabilités. Pour le noyau Windows, il y en a 45, Pour noyau Linux + noyau Linux Debian, il y en a 36.
Et au delà de la guerre de kikalaplugrosse, ces chiffres ne veulent absolument rien dire. Dans ce qui rentre en jeu dans l'analyse de la sécurité, il y a le nombre de vulnérabilités, leur impact, la réactivité de développeur pour proposer un patch et la facilité avec laquelle récupérer ce patch (qui n'a jamais travaillé sur un Windows obsolète parce que la boite n'a pas les moyens de se payer une nouvelle licence). Et cela, l'article de Denis n'en parle pas.

Ce que Denis a cherché à faire revient à comparer les résultats (ou compétences) de deux élèves qui ont eut des profs différents dans des établissement différents et avec des sujets d'examen différents. Les notes sont "voisines" (et non pas éliminatoires / ce n'est pas le sujet ici). On espère en tirer quoi ?

@Enguerran

Je ne sais pas où tu trouves ces chiffres. Je me suis basé exclusivement sur les failles "noyau". C'est vérifiable.

2e remarque : des Linux obsolètes, ça existe malheureusement dans les entreprises. J'en sais quelque chose, moi qui travaille sur Oracle, MySQL et PostgreSQL exclusivement maintenant en environnement Linux.

@C138

J'ai parlé de failles "noyau". Pas d'autre chose. Mais, maintenant, on peut parler de la suppression en 2005 (noyau 2.6.14) du filtrage par process dans Netfilter du fait de problèmes de performance rencontrés par les développeurs.

Comment un utilisateur peut accepter d'utiliser un système sans réellement savoir ce qui sort de ses applications ? J'ai basculé ma station de travail sur Windows le 1er janvier 2010. J'aurais pu aussi choisir Mac OS X.

-> https://en.wikipedia.org/wiki/Mandatory_access_control

Concernant le sens, on va tous vers la mort. N'est-ce pas cette question qui est à résoudre avant toutes les autres?

Désolé si c'est compté comme étant hors-sujet, vous pouvez alors le supprimer.

Salut.

@Denis On ne reproche strictement rien aux chiffres, c'est TA méthode qui n'est pas valide. C'est chiffres sont INUTILISABLES pour COMPARER deux systèmes fondamentalement DIFFÉRENTS.
À partir d'une démarche fausse, tu peux déduire ce que tu veux, y compris n'importe quoi.
@Mahmoud Si résoudre cette question permettait d'éviter la mort, cela aurait un sens. Dans le cas contraire, pas de souci, cette question est la dernière qui trouvera nécessairement une réponse ;-)

@Denis
Au niveau des chiffres, j'ai comptabilisé le nombre de vulnérabilités et non le nombre de bulletins sur le lien que tu avais donné du CERT-FR. Par exemple pour cette annonce sur le noyau Linux dans Debian, il y a 6 vulnérabilités. http://www.cert.ssi.gouv.fr/site/CERTFR-2015-AVI-554/index.html
Les chiffres que tu avances correspondent au nombre de bulletins. Le but de ma manoeuvre c'est de s'assurer qu'il n'y a pas de biais du à la politique d'annonce des éditeurs. Et il n'y en a pas, ou très peu en ce qui concerne Debian vs Windows d'ailleurs. Après je le répète ce chiffre en tant que tel n'a que peu de valeur sans une analyse des risques liés à ces vulnérabilités et à leur traitement.

Pour le filtrage par processus, ce n'est pas déjà couvert par des modules comme Apparmor et SElinux ?

@C138: Eviter la mort est-il vraiment une solution? N'est-ce pas son acceptation qui est compatible avec le salut du monde? De la Terre?

@Enguerran

AppArmor ne sait pas combiner port, protocole et application. Quant à SELInux, le tag pour le gérer dans Iptables n'est pas pris en charge. Et les développeurs de NetFilter se concentrent aujourd'hui sur nftables. Il y a eu un commit il y a 2 mois. L'avant dernier remonte à 2 ans. https://git.netfilter.org/iptables/

Il n'y a donc pas de réelle solution. Et je m'étonne que des gens comme toi ne s'intéressent pas à cette question. Cela veut dire que tu ne contrôles rien de ce qui sort de votre machine. Et ça, vois-tu, ça la fout mal. Sous Windows, il y a wf.msc et ça se configure en deux temps trois mouvements.

NB Je cherche une solution... simple. Sinon, je pense que Tomoyo fonctionne. Il faut juste compiler le noyau à chaque mise à jour. C'est, comment dirais-je, très, très "friendly user". Linux for human beings qu'ils disaient ?

@Mahmoud

Tu reviens de Syrie ? ;+) Tu y vas ? ;+)

@Denis:

Salut,

Qu'est-ce qui te fait dire ça? (Réponse à ta question: Non).