Article originale par David A. Wheeler, révisé en date du 18 juillet 2015, disponible ici. Cet article (et sa base de données à l’appui) fournit des données quantitatives qui, dans de nombreux cas, l’utilisation de logiciels libres (en abrégé OSS/FS, FLOSS, ou FOSS) est une approche raisonnable ou même supérieure pour utiliser leur concurrence exclusive selon diverses mesures. L’objectif de ce document est de montrer que vous devriez envisager d’utiliser OSS/FS lors de l’acquisition d’un logiciel. Cet article examine la popularité, la fiabilité, la performance, l’évolutivité, la sécurité et le coût total de possession. Il contient également des sections sur les questions non quantitatives, les craintes inutiles, les logiciels libres et les logiciels libres sur le bureau, les rapports d’utilisation, les gouvernements et les logiciels libres et les logiciels libres, d’autres sites fournissant des informations connexes, et se termine par quelques conclusions. Une annexe donne plus d’informations générales sur les logiciels libres et les logiciels libres. Vous pouvez consulter ce document à l’adresse http://www.dwheeler.com/oss_fs_why.html (format HTML). Une courte présentation (briefing) basée sur ce document est également disponible. Les utilisateurs de Palm PDA peuvent utiliser Plucker pour visualiser ce rapport plus long. Les anciennes copies archivées et une liste des changements sont également disponibles.

1. Introduction

Les Logiciels Libres / Logiciels Libres (aka OSS/FS), également décrits comme Logiciels Libres / Libres et Open Source (FLOSS), ont pris une grande importance. En bref, les programmes FLOSS sont des programmes dont les licences donnent aux utilisateurs la liberté d’exécuter le programme à n’importe quelle fin, d’étudier et de modifier le programme, et de redistribuer des copies du programme original ou modifié (sans avoir à payer de redevances aux développeurs précédents).

Le but de cet article est de vous convaincre d’utiliser le FLOSS lorsque vous recherchez un logiciel, en utilisant des mesures quantitatives. Certains sites fournissent quelques anecdotes sur les raisons pour lesquelles vous devriez utiliser le FLOSS, mais pour beaucoup, ce n’est pas assez d’informations pour justifier l’utilisation du FLOSS. Cet article met plutôt l’accent sur les mesures quantitatives (telles que les expériences et les études de marché) pour justifier pourquoi l’utilisation des produits FLOSS est dans de nombreuses circonstances une approche raisonnable, voire supérieure. Je dois noter que bien que je trouve beaucoup à aimer dans FLOSS, je ne suis pas un défenseur enragé ; j’utilise moi-même à la fois des produits propriétaires et des produits FLOSS. Les vendeurs de produits propriétaires travaillent souvent dur pour trouver des chiffres à l’appui de leurs affirmations ; cette page fournit un antidote utile de chiffres concrets pour aider à comparer les produits propriétaires au FLOSS. D’autres sont parvenus aux mêmes conclusions, par exemple, Forrester Research a conclu en septembre 2006 que  » les entreprises devraient envisager des options open source pour les applications critiques « .

Je crois que ce document a atteint son objectif ; d’autres semblent le penser aussi. Le rapport 2004 de la California Performance Review, un rapport de l’État de Californie, insiste sur le fait que  » l’État devrait envisager plus largement l’utilisation des logiciels libres « , et fait spécifiquement référence à ce document. Une revue du site canadien de recherche et d’enseignement Open Source (CanOpenER) a déclaré :  » C’est un excellent aperçu de certaines des raisons pour lesquelles toute[organisation] devrait envisager l’utilisation de[FLOSS]…. il] fait un travail merveilleux en présentant les faits et les chiffres des comparaisons d’utilisation réelle et en expliquant comment les chiffres sont obtenus. Pas de FUD ou payé pour les rapports de l’industrie ici, juste les faits ». Ce document a été référencé par de nombreux autres travaux, aussi. J’espère que vous le trouverez également utile.

Les sous-sections suivantes décrivent la portée du document, les défis que pose sa création, la terminologie utilisée et le tableau d’ensemble. Vient ensuite une description du reste de l’organisation de l’étude (en énumérant les sections telles que la popularité, la fiabilité, la performance, l’évolutivité, la sécurité et le coût total de possession). Ceux qui trouvent ce document intéressant peuvent également s’intéresser aux autres documents disponibles sur la page d’accueil personnelle de David A. Wheeler. Une courte présentation (briefing) basée sur ce document est également disponible.

Ce document est devenu long, il existe maintenant une base de données à l’appui des études quantitatives OSS/FS (FLOSS) que vous trouverez peut-être plus facile à utiliser. Vous pouvez également être intéressé par le groupe de discussion pour des chiffres quantitatifs sur les logiciels libres / libres / open source.

1.1 Portée

Comme nous l’avons déjà mentionné, l’objectif de ce document est de vous convaincre d’envisager l’utilisation du FLOSS lorsque vous recherchez un logiciel, en utilisant des mesures quantitatives. Notez que l’objectif de ce document n’est pas de montrer que tous les FLOSS sont meilleurs que tous les logiciels propriétaires. Certes, il y en a beaucoup qui croient que c’est vrai pour des raisons éthiques, morales ou sociales. Il est vrai que les utilisateurs de FLOSS ont des avantages fondamentaux de contrôle et de flexibilité, puisqu’ils peuvent modifier et maintenir leur propre logiciel à leur guise. Et certains pays perçoivent des avantages à ne pas dépendre d’une entreprise à fournisseur unique basée dans un autre pays. Cependant, aucun chiffre ne peut prouver l’affirmation générale selon laquelle le FLOSS est toujours « meilleur » (en effet, vous ne pouvez pas raisonnablement utiliser le terme « meilleur » tant que vous n’avez pas déterminé ce que vous entendez par là). Au lieu de cela, je vais simplement comparer un logiciel FLOSS communément utilisé avec un logiciel propriétaire commun, pour montrer qu’au moins dans certaines situations et selon certaines mesures, certains logiciels FLOSS sont au moins aussi bons ou meilleurs que ses concurrents propriétaires. Bien sûr, certains logiciels FLOSS sont techniquement pauvres, tout comme certains logiciels propriétaires sont techniquement pauvres. Et n’oubliez pas que même un très bon logiciel peut ne pas répondre à vos besoins spécifiques. Mais bien que la plupart des gens comprennent la nécessité de comparer les produits propriétaires avant de les utiliser, beaucoup de gens ne considèrent même pas les produits FLOSS, ou ils créent des politiques qui entravent inutilement leur utilisation ; ce sont des erreurs que ce document tente de corriger.

Le présent document ne décrit pas comment évaluer des programmes particuliers de FLOSS ; un document d’accompagnement décrit comment évaluer les programmes de FLOSS. Le présent document n’explique pas non plus comment une organisation ferait la transition vers une approche FLOSS si elle est sélectionnée. D’autres documents couvrent les questions de transition, comme les lignes directrices sur la migration Open Source de l’échange de données entre administrations (IDA) (novembre 2003) et le guide allemand KBSt sur la migration Open Source (juillet 2003) (bien que les deux soient quelque peu dépassés). Les organisations peuvent faire la transition vers les FLOSS en partie ou par étapes, ce qui, pour beaucoup d’entre elles, constitue une approche de transition plus pratique.

J’insisterai sur le système d’exploitation (OS) connu sous le nom de GNU/Linux (que beaucoup abrégeront sous « Linux »), le serveur web Apache, le navigateur web Mozilla Firefox, et la suite bureautique OpenOffice.org, puisque ce sont quelques-uns des projets FLOSS les plus visibles. Je comparerai aussi principalement les logiciels FLOSS aux produits Microsoft (tels que Windows et IIS), puisque Microsoft Windows est largement utilisé et que Microsoft est l’un des plus grands partisans des logiciels propriétaires. Notez, cependant, que même Microsoft fabrique et utilise des FLOSS eux-mêmes (ils ont même vendu des logiciels utilisant la licence GNU GPL, comme discuté ci-dessous).

Je mentionnerai également les systèmes Unix, bien que la situation avec Unix soit plus complexe ; les systèmes Unix d’aujourd’hui comprennent de nombreux composants ou logiciels FLOSS principalement dérivés de composants FLOSS. Ainsi, comparer des systèmes Unix propriétaires à des systèmes FLOSS (lorsqu’ils sont considérés comme des systèmes complets) n’est souvent pas aussi clair. Cet article utilise le terme « Unix-like » pour désigner des systèmes intentionnellement similaires à Unix ; Unix et GNU/Linux sont tous deux des systèmes « Unix-like ». L’OS Macintosh le plus récent d’Apple (MacOS OS X) présente le même type de complications ; les anciennes versions de MacOS étaient entièrement propriétaires, mais l’OS d’Apple a été redessiné de sorte qu’il est maintenant basé sur un système Unix avec d’importantes contributions des programmes FLOSS. En effet, Apple encourage maintenant ouvertement la collaboration avec les développeurs FLOSS.

1.2 Défis à relever

C’est un défi d’écrire n’importe quel article comme celui-ci ; mesurer n’importe quoi est toujours difficile, par exemple. La plupart de ces figures proviennent d’autres œuvres, et il était difficile d’en trouver beaucoup. Mais il y a quelques défis particuliers dont vous devez être conscient : des problèmes juridiques dans la publication des données, la réticence de nombreux utilisateurs de FLOSS à l’admettre publiquement (par crainte de représailles), et des études douteuses (généralement celles financées par un fournisseur de produit).

De nombreuses licences de logiciels propriétaires comportent des clauses qui interdisent toute critique publique du produit sans l’autorisation du vendeur. De toute évidence, il n’y a aucune raison qu’une telle permission soit accordée si un examen est négatif – ces fournisseurs peuvent s’assurer que tous les commentaires négatifs sont réduits et que les critiques sévères, peu importe leur vérité, ne sont jamais publiées. Cela réduit considérablement la quantité d’information disponible pour des comparaisons impartiales. Les examinateurs peuvent choisir de modifier leur rapport pour qu’il puisse être publié (en omettant les renseignements négatifs importants), ou de ne pas le faire du tout – en fait, ils pourraient même ne pas commencer l’évaluation. Certaines lois, comme l’UCITA (une loi du Maryland et de la Virginie), appliquent spécifiquement ces clauses interdisant la liberté d’expression, et dans de nombreux autres endroits, la loi n’est pas claire – ce qui fait courir aux chercheurs un risque juridique important que ces clauses puissent être appliquées. Ces risques juridiques ont un effet dissuasif sur les chercheurs et rendent donc beaucoup plus difficile pour les clients de recevoir une information complète et impartiale. Il ne s’agit pas seulement d’un problème théorique ; ces clauses de licence ont déjà empêché certaines critiques publiques, par exemple, des chercheurs de Cambridge ont rapporté qu’il leur était interdit de publier certains de leurs résultats de référence de VMWare ESX Server et Connectix/Microsoft Virtual PC. Oracle a de telles clauses depuis des années. Espérons que ces restrictions injustifiées à la liberté d’expression seront supprimées à l’avenir. Mais malgré ces tactiques juridiques visant à empêcher la divulgation de données impartiales, il existe encore des données accessibles au public, comme le montre le présent document.

Un autre problème est que de nombreux utilisateurs de FLOSS sont réticents à l’admettre. L’article du 25 novembre 2005 de ZDNet UK « Why open source projects are not publicised » par Ingrid Marson examine cette question. Par exemple, il note que beaucoup ont peur de représailles. Évidemment, cela rend certaines données plus difficiles à obtenir.

Cet article omet ou du moins tente de mettre en garde contre les études financées par le vendeur d’un produit, qui ont un conflit d’intérêts fondamentalement préjudiciable. Rappelez-vous que les études parrainées par les fournisseurs sont souvent truquées (peu importe qui est le fournisseur) pour donner bonne image au fournisseur au lieu d’être des comparaisons justes. L’article de Todd Bishop du 27 janvier 2004 dans le Seattle Post-Intelligencer Reporter traite des graves problèmes que pose le financement par un fournisseur de recherches publiées sur lui-même. Un bailleur de fonds de l’étude pourrait payer directement quelqu’un et lui demander de mentir directement, mais ce n’est pas nécessaire ; un bailleur de fonds intelligent peut produire les résultats qu’il souhaite sans, à proprement parler, mentir. Par exemple, un bailleur de fonds de l’étude peut s’assurer que l’évaluation définit soigneusement un environnement spécifique ou une question extrêmement étroite qui montre un trait positif de son produit (en ignorant d’autres facteurs, probablement plus importants), exige un processus de mesure étrange qui se produit montrer leur produit, cherche des examinateurs sans qualification ou sans scrupules qui vont créer des résultats positifs (sans contrôles minutieux ou même sans faire le travail !), créer un environnement injustement différent entre les produits comparés (et ne pas le dire ou obscurcir le point), exiger que le journaliste omette tout résultat particulièrement négatif, ou même financer un grand nombre d’études différentes et ne permettre que les rapports positifs à apparaître en public. James Plamodon, de Microsoft, a exhorté les employés de Microsoft à mettre en œuvre diverses pratiques manipulatrices, en leur recommandant de  » travailler en coulisses pendant le  » Slog  » de la concurrence pour orchestrer les louanges  » indépendantes  » de notre technologie, et la damnation de l’ennemi….. Un rapport d’analystes  » indépendants  » devrait être publié…. Les consultants  » indépendants  » devraient rédiger des chroniques et des articles, faire des présentations lors de conférences et des panels modérés, tous en notre nom (et s’ériger en experts de la nouvelle technologie, disponible à des prix très élevés)… Les sources académiques  » indépendantes  » devraient être cultivées et citées (et l’argent de la recherche devrait être accordé) « . La chanson « Meat the Press » de Steve Taylor exprime avec éloquence ce genre de tromperie : « Ils peuvent énoncer les faits tout en mentant. »

Cela ne signifie pas que toutes les études financées par le fournisseur sont trompeuses, mais beaucoup le sont, et il n’y a aucun moyen de savoir quelles études (le cas échéant) sont réellement valides. Par exemple, la campagne « Get the facts » de Microsoft identifie de nombreuses études, mais presque toutes les études sont entièrement financées par les fournisseurs, et je n’ai aucun moyen de déterminer si certaines d’entre elles sont valables. Après qu’une paire d’études financées par les fournisseurs ont été publiquement critiquées, Forrester Research a annoncé qu’elle n’acceptera plus les projets qui impliquent des comparaisons de produits payées et publicisées. Une publicité, fondée sur une étude commanditée par le vendeur, a été jugée trompeuse par la Advertising Standards Authority du Royaume-Uni (un organisme d’autoréglementation indépendant), qui a rendu une décision officielle contre le vendeur. Cet exemple est important parce que l’étude a été présentée comme étant juste par un groupe  » indépendant « , mais qu’elle a été jugée injuste par une organisation qui examine des publicités ; le non-respect de la norme de vérité pour une publicité est un obstacle très bas.

L’article de Steve Hamm dans BusinessWeek « The Truth about Linux and Windows » (22 avril 2005) note que beaucoup trop de rapports sont simplement financés par l’une ou l’autre partie, et même lorsqu’ils disent ne pas l’être, il est difficile d’en prendre au sérieux. En particulier, il a analysé un rapport de Laura DiDio du Yankee Group, posant des questions plus approfondies sur les données, et a trouvé de nombreux problèmes graves. Son article expliquait pourquoi il ne « fait pas confiance à ses conclusions » parce que « le travail semble négligé[et] pas fiable » (un article de Groklaw a également discuté de ces problèmes).

De nombreuses entreprises financent des études qui placent leurs produits sous un bon jour, pas seulement Microsoft, et les préoccupations concernant les études financées par les fournisseurs s’appliquent également aux fournisseurs de produits FLOSS. Je suis indépendant ; je n’ai reçu aucun financement d’aucune sorte pour rédiger ce document, et je n’ai aucune raison financière de préférer le FLOSS ou un logiciel propriétaire. Je vous recommande de préférer les études qui n’ont pas d’incitatifs financiers pour un résultat particulier.

Le présent document comprend des données portant sur une série d’années, et non seulement sur l’année écoulée ; toutes les données pertinentes devraient être prises en compte au moment de prendre une décision, au lieu d’ignorer arbitrairement les données antérieures. Notez que les données plus anciennes montrent que les FLOSS ont un historique de nombreux traits positifs, par opposition à être un phénomène temporaire.

1.3 Terminologie et conventions

Vous pouvez voir une explication plus détaillée des termes « logiciels libres » et « logiciels libres », ainsi que des informations connexes, dans l’annexe et dans ma liste de références des logiciels libres (OSS/FS ou FLOSS) sur http://www.dwheeler.com/oss_fs_refs.html. Notez que ceux qui utilisent le terme « logiciel libre » ont tendance à mettre l’accent sur les avantages techniques de ces logiciels (comme une meilleure fiabilité et sécurité), tandis que ceux qui utilisent le terme « logiciel libre » ont tendance à mettre l’accent sur la liberté de contrôle par autrui et/ou les questions éthiques. Le contraire de FLOSS est un logiciel « fermé » ou « propriétaire ».

D’autres termes alternatifs pour FLOSS, en plus de l’un ou l’autre de ces termes seuls, incluent « logiciel libre » (où libre signifie libre signifie libre comme dans freedom), « livre software » (même chose), free/libre and open-source software (FLOSS), open source / Free Software (OS/FS), les logiciels libres / open source (FOSS ou F/OSS), les logiciels libres (en effet, « open-source » est souvent utilisé comme adjectif général), les « logiciels libres », et même les « logiciels de service public » (car souvent ces projets logiciels sont destinés à servir le grand public). Je recommande le terme « FLOSS » parce qu’il est facile à dire et qu’il résout directement le problème que « gratuit » est souvent mal compris comme « sans frais ». Il existe d’autres moyens d’étendre les FLOSS, y compris les logiciels libres et open source et les logiciels libres/libres/open source.

Les logiciels qui ne peuvent pas être modifiés et redistribués sans autre limitation, mais dont le code source est visible (par exemple, les logiciels « source visible » ou « open box », y compris les licences « shared source » et « community »), ne sont pas considérés ici puisque ces logiciels ne répondent pas à la définition du FLOSS. Le FLOSS n’est pas un « freeware » ; le freeware est généralement défini comme un logiciel propriétaire donné gratuitement, et ne fournit pas les droits de base du FLOSS pour examiner, modifier et redistribuer le code source du programme.

Quelques auteurs font encore l’erreur de dire que le FLOSS est « non commercial » ou « domaine public », ou ils comparent par erreur le FLOSS à des produits « commerciaux ». Cependant, aujourd’hui, de nombreux programmes FLOSS sont des programmes commerciaux, soutenus par une ou plusieurs entreprises à but lucratif, donc cette désignation est tout à fait fausse. Ne faites pas l’erreur de penser que le FLOSS est équivalent à un logiciel « non-commercial » ! De plus, presque tous les programmes FLOSS ne sont pas dans le domaine public. Le terme « logiciel du domaine public » a une signification juridique spécifique – un logiciel qui n’a pas de propriétaire de copyright – et ce n’est pas vrai dans la plupart des cas. En bref, n’utilisez pas les termes « domaine public » ou « non commercial » comme synonymes de FLOSS.

Un programme FLOSS doit être publié sous une licence donnant à ses utilisateurs un certain nombre de droits ; la licence FLOSS la plus populaire est la GNU General Public License (GPL). Tous les logiciels publiés sous la GPL sont des FLOSS, mais tous les logiciels FLOSS n’utilisent pas la GPL ; néanmoins, certaines personnes utilisent à tort le terme  » logiciel GPL  » quand elles veulent dire logiciel FLOSS. Étant donné la domination de la GPL, cependant, il serait juste de dire que toute politique discriminatoire à l’égard de la GPL est discriminatoire à l’égard des FLOSS.

Il s’agit d’un document volumineux, avec de nombreux acronymes. Quelques-uns des acronymes les plus courants sont : Acronyme Signification

  • GNU GNU GNU’s Not Unix (un projet pour créer un système d’exploitation FLOSS)
  • GPL GNU GNU General Public License (la licence FLOSS la plus courante)
  • Systèmes d’exploitation, Systèmes d’exploitation, Systèmes d’exploitation, Systèmes d’exploitation
  • Logiciels libres / Logiciels libres FLOSS

Cet article utilise des citations de style logique (telles que définies par les Règles de Hart et l’Oxford Dictionary for Writers and Editors) ; les citations n’incluent pas la ponctuation externe.

1.4 Vue d’ensemble

Les projets FLOSS typiques sont, en fait, un exemple de quelque chose de beaucoup plus grand : la production par les pairs basée sur les points communs. La caractéristique fondamentale du FLOSS est sa licence, et un projet FLOSS qui répond aux besoins d’au moins un client peut être considéré comme un succès. Cependant, les projets FLOSS plus importants sont généralement développés par de nombreuses personnes de différentes organisations travaillant ensemble pour un but commun. Comme l’affirme la déclaration Free Software Leaders Stand Together, le modèle économique du FLOSS  » est de réduire le coût du développement et de la maintenance des logiciels en les distribuant à de nombreux collaborateurs « . L’article de Yochai Benkler paru en 2002 dans le Yale Law Journal, « Coase’s Penguin, or Linux and the Nature of the Firm », affirme que le développement du FLOSS n’est qu’un exemple de l’émergence d’un nouveau troisième mode de production dans un environnement en réseau numérique. Il appelle cette approche  » production commune par les pairs  » (pour la distinguer des modèles d’entreprises et de marchés fondés sur la propriété et les contrats).

Beaucoup ont noté que les approches FLOSS peuvent être appliquées à de nombreux autres domaines, et pas seulement aux logiciels. L’encyclopédie Internet Wikipedia et les œuvres créées sous licence Creative Commons (Yahoo ! peut les rechercher) sont d’autres exemples de cette approche de développement. Grand Ouvert : Les méthodes open source et leur potentiel futur par Geoff Mulgan (qui a déjà dirigé l’unité politique au 10 Downing Street), Tom Steinberg, et avec Omar Salem, parle de ce potentiel plus large. Nombreux sont ceux qui ont observé que le processus de création de connaissances scientifiques fonctionne de la même manière depuis des siècles.

FLOSS est aussi un exemple de l’incroyable valeur qui peut résulter lorsque les utilisateurs ont la liberté de bricoler (la liberté de comprendre, discuter, réparer et modifier les dispositifs technologiques qu’ils possèdent). Les innovations sont souvent créées en combinant des composants préexistants de façon novatrice, ce qui exige généralement que les utilisateurs soient en mesure de modifier ces composants. Cette liberté est malheureusement menacée par diverses lois et réglementations telles que le DMCA américain et le « broadcast flag » de la FCC. Elle est également menacée par des efforts tels que l' »informatique de confiance » (souvent appelée « informatique déloyale »), dont le but est de créer des systèmes dans lesquels des organisations externes, et non des utilisateurs d’ordinateurs, contrôlent complètement l’ordinateur d’un utilisateur (BBC News, entre autres, s’en inquiète).

Le Code et autres lois du cyberespace de Lawrence Lessig soutient que le code logiciel a le même rôle dans le cyberespace que le droit dans l’espace réel. En fait, il soutient simplement que  » le code est la loi « , c’est-à-dire qu’à mesure que les ordinateurs sont de plus en plus intégrés dans notre monde, ce que le code fait, permet et interdit, contrôle ce que nous pouvons ou ne pouvons pas faire d’une manière puissante. Il discute en particulier des implications du « code ouvert ».

Toutes ces questions dépassent la portée du présent document, mais les documents cités en référence peuvent vous aider à trouver plus d’information si vous êtes intéressé.

1.5 Organisation du présent document

Vous trouverez ci-dessous des données sur la popularité, la fiabilité, la performance, l’évolutivité, la sécurité et le coût total de possession. Je termine par une brève discussion sur les questions non quantitatives, les craintes inutiles, les FLOSS sur le bureau, les rapports d’utilisation, les autres sites fournissant des informations connexes et les conclusions. Une annexe de clôture donne plus d’informations générales sur les FLOSS. Chaque section comporte plusieurs sous-sections ou points. La section sur les questions non quantitatives comprend des discussions sur l’absence de contrôle par une autre personne (en particulier une source unique), la protection contre les litiges de licence, la flexibilité, les questions sociales, morales et éthiques, et l’innovation. La section sur les craintes inutiles aborde des questions telles que le soutien, les droits légaux, la violation des droits d’auteur, l’abandon, l’inopposabilité des licences, l’infection par la GPL, la non-viabilité économique, les programmeurs affamés (c’est-à-dire la commercialisation croissante des FLOSS), la compatibilité avec le capitalisme, la suppression de la compétition, l’élimination de la « propriété intellectuelle », le manque de disponibilité des logiciels, l’importance d’un code source, la campagne antimicrosoft et ce qui se passe. Et l’annexe discute des définitions des FLOSS, des motivations des développeurs et des sociétés en développement, de l’historique, des licences, des approches de gestion de projet FLOSS et de la bifurcation.

2. Popularité

Beaucoup de gens pensent qu’un produit n’est gagnant que s’il est populaire. C’est lemming-comme lemming, mais il y a une certaine justification pour ceci : les produits qui ont beaucoup d’utilisateurs obtiennent les applications construites sur eux, les utilisateurs formés, et l’élan qui réduit le risque futur. Certains auteurs s’opposent au FLOSS ou à GNU/Linux comme « n’étant pas mainstream », mais si leur utilisation est répandue, alors ces déclarations reflètent le passé, pas le présent. Il existe d’excellentes preuves que de nombreux produits FLOSS sont populaires :

1. Le serveur web le plus populaire a toujours été FLOSS depuis que ces données ont été collectées. Par exemple, Apache est le serveur web #1 actuel. Les statistiques de Netcraft sur les serveurs web ont toujours montré qu’Apache (un serveur web FLOSS) est le serveur web le plus populaire depuis qu’Apache est devenu le serveur web n°1 en avril 1996. Auparavant (d’août 1995 à mars 1996), le serveur web le plus populaire était le serveur web NCSA (ancêtre d’Apache), et c’est aussi le FLOSS.

L’enquête de Netcraft publiée en mai 2011 a interrogé tous les sites Web qu’ils ont pu trouver (totalisant 324.697.205 sites), et a trouvé que de tous les sites qu’ils ont pu trouver, en comptant par nom, 62,71% du serveur Web a fonctionné Apache, tandis que 18,37% utilisant le serveur Web Microsoft (ce sont les deux meilleurs).

Cependant, de nombreux sites Web ont été créés qui sont simplement des sites  » placeholder  » (c.-à-d. que leurs noms de domaine ont été réservés mais qu’ils ne sont pas utilisés) ; ces sites sont qualifiés d' » inactifs « . Cela signifie que le simple suivi des noms peut être trompeur et quelque peu vulnérable au truquage. Cela s’est finalement produit. En avril 2006, il y a eu une augmentation ponctuelle significative du nombre de sites IIS (par rapport à Apache) parmi les sites inactifs, entièrement due au passage d’une seule société (Go Daddy) d’Apache à IIS pour les sites inactifs. Bien qu’il soit plus difficile pour un seul site actif de changer de serveur Web, il est trivial pour une organisation d’hébergement de changer tous ses sites inactifs. Le président et COO de Go Daddy, Warren Adelman, a refusé de discuter si Microsoft payait ou non ou donnait d’autres incitations pour déplacer ses domaines inactifs (parqués) vers Windows, amenant un grand nombre de personnes à soupçonner que Go Daddy était payé par Microsoft pour faire ce changement, juste pour essayer de rendre les chiffres de popularité de Microsoft meilleurs qu’ils étaient réellement.

Ainsi, depuis 2000, Netcraft compte séparément les sites Web « actifs ». Le nombre de sites actifs de Netcraft est sans doute un chiffre plus pertinent que celui de tous les sites Web, puisque le nombre de sites actifs montre le serveur Web choisi par ceux qui choisissent de développer un site Web. Apache se débrouille très bien dans le comptage des sites actifs ; dans les résultats de mai 2011, Apache détenait 57,52% du marché des serveurs web et Microsoft 15,41%.

Le dernier sondage SSL public de Netcraft (janvier 2009) a porté sur le nombre de serveurs Web qui ont chiffré leurs informations à l’aide de TLS/SSL. Bref, « Netscape a déjà dominé…. Microsoft a rapidement rattrapé son retard et a réussi…. et maintenant le choix le plus populaire des serveurs web SSL est le serveur Apache open source. » Apache détenait environ 45% du marché, Microsoft environ 43%, et la part de marché de Microsoft était clairement orientée à la baisse.

Il y a quelques années, l’enquête de Netcraft de septembre 2002 rapportait les sites Web en fonction de leur « adresse IP » au lieu du nom d’hôte, ce qui a pour effet de supprimer les ordinateurs utilisés pour servir plusieurs sites et les sites avec plusieurs noms. En comptant par adresse IP, Apache a connu une lente augmentation, passant de 51% au début de 2001 à 54%, tandis que Microsoft est resté inchangé à 35%. Encore une fois, une nette majorité.

L’étude « Apache s’éloigne du serveur Web de Microsoft » de CNet résume l’année 2003 en notant que « Apache s’est développé beaucoup plus rapidement en 2003 que son concurrent le plus proche, Microsoft Internet Information Services (IIS), selon une nouvelle enquête, ce qui signifie que le logiciel libre reste de loin le serveur Web le plus utilisé sur Internet ». La même chose s’est produite en 2004, en fait, en décembre 2004 seulement, Apache a gagné un point de pourcentage sur l’IIS de Microsoft parmi le nombre total de sites web.

La popularité d’Apache sur le marché des serveurs web a été confirmée indépendamment par l’espace de sécurité d’E-Soft – leur rapport sur la part de marché des serveurs web publié le 1er avril 2007 a sondé 23.331.627 serveurs web en mars 2007 et a trouvé qu’Apache était #1 (73,29%), avec Microsoft IIS étant #2 (20,01%). E-soft rapporte également spécifiquement sur les serveurs sécurisés (serveurs web supportant SSL/TLS, tels que les sites de commerce électronique) ; Apache y est également en tête, avec 52,49% des serveurs web utilisant Apache, contre 39,32% pour Microsoft. Vous pouvez consulter le site http://www.securityspace.com pour plus d’informations.

Netcraft a noté qu’en avril 2007, certains domaines semblent exécuter lighthttpd, mais prétendent exécuter Apache à la place. Pour les besoins de cet article, un serveur lighttpd prétendant être Apache ne nuit pas à la validité du résultat, cependant. Lighttpd et Apache sont tous deux des FLOSS, donc la popularité des serveurs web FLOSS serait de toute façon la somme de ceux-ci (et des autres serveurs web FLOSS).

2. Internet Explorer a perdu de sa popularité au profit des navigateurs Web FLOSS (comme Mozilla Firefox) depuis la mi-2004, une tendance particulièrement évidente dans les indicateurs avancés tels que les sites technologiques, les sites de développement Web et les blogueurs. PC World a constaté qu’en juillet 2004, Internet Explorer a commencé à devenir moins populaire que les navigateurs FLOSS. Selon PC World, IE a perdu 1% de sa popularité en un seul mois, juillet 2004. Au cours de la même période, l’utilisation des navigateurs Mozilla a augmenté de 26%. IE était encore beaucoup plus largement utilisé à cette époque selon ce sondage de juillet 2004 (94,73%), mais IE n’avait pas perdu de parts de marché depuis de nombreuses années, et il faut un événement important pour que tant de personnes changent de navigateur. Cela était probablement dû, du moins en partie, à des problèmes de sécurité répétés (bien que son faible support des standards du web et son manque de fonctionnalités aient aussi pu avoir un rôle à jouer). Notez que la réécriture majeure de Mozilla de son navigateur web, Mozilla Firefox, n’était même pas officiellement disponible à l’époque ; Firefox n’est sorti officiellement que le 9 novembre 2004.

Une multitude d’études montrent qu’IE perd de sa popularité, tandis que les navigateurs Web FLOSS (en particulier Firefox et Chrome) gagnent en popularité. La figure ci-dessus montre la part de marché des navigateurs Web au fil du temps ; les carrés rouges représentent la part de marché d’Internet Explorer (toutes versions confondues), et les cercles bleus représentent la combinaison de l’ancienne suite Mozilla et du nouveau navigateur Mozilla Firefox (les deux étant des FLOSS).

Les navigateurs Web FLOSS (en particulier Firefox) gagnent progressivement des parts de marché dans la population générale des utilisateurs Web. Le 1er novembre 2004, Ziff Davis a révélé qu’IE avait perdu environ un autre pour cent du marché en seulement 7 semaines. Chuck Upsdell a combiné de nombreuses sources de données et estime qu’en septembre 2004, IE est passé de 94 % à 84 %, les utilisateurs passant à d’autres familles de navigateurs (principalement Gecko) ; il croit également que cette tendance à la baisse devrait se poursuivre. Semaine d’information rapportée le 18 mars 2005, quelques résultats de Net Applications (un fabricant de logiciels de surveillance sur le Web). Net Applications a constaté que l’utilisation de Firefox a augmenté à 6,17% du marché en février 2005, contre 5,59% en janvier 2005. WebSideStory a rapporté en Février 2005 que la part de marché générale de Firefox était de 5,69% au 18 février 2005, contre 89,85% pour IE. OneStat a rapporté le 28 février 2005 que la part d’utilisation globale des navigateurs basés sur Mozilla (ou au moins Firefox) est de 8,45%, contre 87,28% pour IE. Le cofondateur Niels Brinkman soupçonne que les utilisateurs d’IE 5 passaient à Firefox, et non à IE 6, comme au moins une des raisons pour lesquelles « la part d’utilisation mondiale de Firefox de Mozilla continue d’augmenter et la part totale de l’Internet Explorer de Microsoft dans l’utilisation mondiale diminue ». Le site TheCounter.com rapporte des statistiques mondiales sur les navigateurs Web ; février 2005 montre que les navigateurs basés sur Mozilla (y compris Firefox, mais pas Netscape) avaient 6%, tandis que IE 6 avait 81% et IE 5 avait 8% (89% total pour IE). Il s’agit d’une croissance significative ; l’étude d’août 2004 réalisée six mois plus tôt portait sur Mozilla 2%, IE 6 avec 79% et IE 5 avec 13% (92% pour IE). Le site Web quotationspage.com est un site Web populaire d’usage général ; les statistiques de février 2004 et 2005 sur les citations montrent une augmentation marquée de l’utilisation des navigateurs FLOSS. En février 2004, IE comptait 89,93 % des utilisateurs de navigateurs basés sur Mozilla et 5,29 % des utilisateurs de navigateurs basés sur Mozilla ; en février 2005, IE était tombé à 76,47 %, tandis que les navigateurs basés sur Mozilla (y compris Firefox) avaient augmenté à 14,11 %. Janco Associates a également rapporté des données sur la part de marché de Firefox ; en comparant janvier 2005 à avril 2005, Firefox avait bondi de 4,23 % à 10,28 % du marché (IE est passé de 84,85 % à 83,07 % pendant cette période, et Mozilla, Netscape et AOL ont tous perdu des parts de marché pendant cette période également selon ce sondage).

L’enquête de Nielsen/NetRatings auprès des visiteurs du site a révélé qu’en juin 2004, 795 000 personnes ont visité le site Web Firefox (c’était le minimum pour leur système de suivi). Il y avait 2,2 millions en janvier 2005, 1,6 million en février et 2,6 millions de personnes qui ont visité le site Web Firefox en mars 2005. Les chiffres étaient également en hausse pour Mozilla.org, le site Web de la Mozilla Foundation (le développeur de FireFox).

En octobre 2006, TechWeb a noté que Firefox poursuivait sa croissance, citant le rapport de MarketShare selon lequel Firefox avait continué de croître – sa part de marché était maintenant de 12,46 % en septembre 2006 parmi tous les navigateurs pour la navigation générale (contre 11,84 % le mois précédent). InformationWeek a rapporté le 16 janvier 2007 que la part de marché de Firefox continuait à augmenter après la sortie d’IE 7.

La croissance des navigateurs web FLOSS devient encore plus impressionnante lorsque l’on étudie spécifiquement les utilisateurs à domicile. Les utilisateurs à domicile peuvent choisir le navigateur à utiliser, tandis que de nombreux utilisateurs professionnels ne peuvent pas choisir leur navigateur Web (il est sélectionné par l’entreprise, et les entreprises sont souvent lentes à changer). XitiMonitor a sondé un échantillon de sites Web utilisés un dimanche (6 mars 2005), totalisant 16 650 993 visites. En sondant le dimanche, ils voulaient d’abord savoir ce que les gens choisissent d’utiliser. Parmi les utilisateurs allemands, 21,4% utilisaient Firefox. Les autres pays étudiés sont la France (12,2%), l’Angleterre (10,9%), l’Espagne (9%) et l’Italie (8,6%). Voici l’étude originale de XitiMonitor du 2005-03-06, une traduction automatisée de l’étude de XitiMonitor, et un résumé du blog de l’étude de XitiMonitor observant que,  » les sites Web visant le consommateur n’ont[aucun] autre choix que[de s’assurer] qu’ils sont compatibles avec Firefox. Ignorer la compatibilité avec Firefox et d’autres navigateurs modernes n’a aucun sens du point de vue commercial. »

En utilisant ces données, nous pouvons déterminer que 13,3% des utilisateurs domestiques européens utilisaient Firefox à cette date en mars 2005. Comment peut-on obtenir un tel chiffre ? Eh bien, nous pouvons utiliser ces grands pays européens comme représentants de l’Europe dans son ensemble ; ils sont certainement représentatifs de l’Europe occidentale, car ce sont les pays les plus peuplés. Supposer que la grande majorité des utilisateurs du dimanche sont des utilisateurs à domicile est tout à fait raisonnable pour l’Europe. On peut alors faire la présomption raisonnable que le nombre d’utilisateurs d’un navigateur Web est proportionnel à la population générale. J’ai utilisé le World Fact Book de l’ICA, mis à jour jusqu’au 2005-02-10. Les populations de ces pays (en millions) sont, dans le même ordre que ci-dessus, 82, 60, 60, 60, 40 et 58 ; le calcul (21,4%*82 + 12,2%*60 + 10,9%*60 + 9%*40 + 8,6%*58) / (82+60+60+60+40+58) produit 13,3%.

Parmi les indicateurs de pointe tels que le savoir-faire technique et les développeurs web, la pénétration du marché a été encore plus rapide et généralisée. Dans un cas (Ars Technica), Firefox est devenu le navigateur web leader ! C’est un indicateur avancé parce que ce sont eux qui développent les sites Web que vous verrez demain ; dans de nombreux cas, ils sont déjà passés aux navigateurs Web FLOSS tels que Firefox. W3schools est un site dédié à l’aide aux développeurs web, et dans le cadre de leur rôle de suivi des navigateurs que les développeurs web utilisent. Les écoles de W3 ont constaté un changement spectaculaire de juillet 2003 à septembre 2004, avec une baisse de 87,2 % à 74,8 % pour IE et une hausse de 7,2 % à 19 % pour les navigateurs basés sur Gecko (dont Netscape 7, Mozilla et Firefox). (Les statistiques actuelles de W3Schools sont disponibles). Cette tendance s’est poursuivie ; en mars 2005, la part de marché de Firefox continuait d’augmenter, atteignant 21,5 % (avec une augmentation tous les mois), tandis que celle d’IE diminuait rapidement (IE 6 était descendue à 64,0 % et diminuait chaque mois). CNN a constaté que parmi ses lecteurs de CNET News.com, les visiteurs du site avec des navigateurs FLOSS sont passés de 8% en janvier 2004 à 18% en septembre 2004. Les statistiques d’Engadget.com, qui a une audience technique, montrent qu’en septembre 2004, seulement 57% utilisaient un navigateur MS et que Firefox avait rapidement augmenté à 18%. Des experts en TI comme John C. Dvorak de PC Magazine ont rapporté des diapositives encore plus dramatiques, avec une part d’IE tombant à 50%. InformationWeek a rapporté qu’au 30 mars 2005, 22 % des visiteurs utilisaient Firefox, contre 69 % qui utilisaient Internet Explorer. Le site Web technique Ars Technica a rapporté le 27 mars 2005 que Firefox était maintenant leur navigateur #1 à 40%, alors qu’IE était descendu au #2 à 30% (contre 38% en septembre 2004).

Les blogueurs, un autre groupe d’internautes particulièrement actifs (et donc, je crois, un autre indicateur avancé) suggèrent également qu’il s’agit d’une tendance. L’article de InformationWeek du 30 mars 2005 « Firefox Thrives Among Bloggers » (Firefox prospère parmi les blogueurs) traite spécifiquement de ce point. InformationWeek a rapporté que sur Boing Boing Boing, l’un des sites de blogs les plus populaires, les statistiques de mars 2005 montrent que plus d’utilisateurs utilisent Firefox qu’Internet Explorer : 35,9% de ses visiteurs utilisent Firefox, contre 34,5% avec Internet Explorer. J’ai vérifié les statistiques de Boing Boing Boing du 2 avril 2004 ; ils ont rapporté Firefox à 39,1%, IE à 33,8%, Safari à 8,8%, et Mozilla à 4,1% ; cela signifie que Firefox plus Mozilla était à 43,2%, bien au-delà des 33,8%. Entre le 1er janvier et le 9 mars, le blogue de Technometria a révélé que « Firefox représentait 28 % des navigateurs comparativement à 58 % pour Internet Explorer ». Kottke.org a rapporté le 27 février que 41 % des visiteurs utilisaient des navigateurs basés sur Mozilla (tels que Firefox), tandis que 31 % utilisaient Internet Explorer.

Net Applications a constaté que la part de marché de Firefox a augmenté, atteignant 10,05 % en mars 2006. Les sources d’information, telles que ComputerWorld et InformationWeek, ont claironné cette nouvelle ; 10 % de tous les navigateurs Web (et ce chiffre ne cesse de croître) est un marché si vaste qu’il est maintenant considéré comme risqué pour les développeurs d’ignorer Firefox.

Les statistiques de OneStat.com du 9 juillet 2006 montrent une utilisation croissante de Firefox. Ils ont constaté que la part de marché mondiale de Firefox s’était stabilisée pendant un certain temps, puis a rapidement augmenté à nouveau. Leurs statistiques ont montré que globalement Mozilla Firefox avait 12,93% (contre 83,05% pour IE), et qu’il variait considérablement selon les pays. Aux États-Unis, Firefox était à 15,82% (contre 79,78% pour IE), tandis qu’en Allemagne, Firefox en avait 39,02% (contre 55,99% pour IE).

Ces statistiques de parts de marché croissantes sont en dépit des problèmes de collecte de données qui sous-estiment le nombre de navigateurs FLOSS. Certains navigateurs non IE sont configurés pour mentir et utiliser la même chaîne d’identification qu’Internet Explorer, même s’ils ne sont pas réellement IE. Par conséquent, toutes ces études sous-estiment presque certainement la part réelle des navigateurs qui ne sont pas des IE, bien que l’ampleur de cette sous-estimation soit généralement inconnue.

Bref, des efforts tels que le groupe de marketing de base Spread Firefox semblent avoir été très efficaces pour convaincre les gens d’essayer le navigateur Web FLOSS Firefox. Une fois que les gens l’essaient, ils semblent l’aimer suffisamment pour continuer à l’utiliser. Mitchell Baker et le Firefox Paradox de David H. Freedman (magazine Inc.com) passe en revue l’histoire et le contexte de Firefox. Ils s’étaient fixé l’objectif absurde et ambitieux d’un million de téléchargements dans les 10 jours suivant la sortie en novembre 2004 ; ils l’ont atteint en seulement 4 jours, et ont eu 10 millions de téléchargements dans les 30 jours. En seulement un an, Firefox était téléchargé en moyenne 250 000 fois par jour. Il conclut que Mozilla « est peut-être l’entreprise technologique la plus branchée d’Amérique. »

L’article de Wikipedia sur la part d’utilisation des navigateurs Web (version du 30 mai 2011) résume les données sur la part de marché des navigateurs Web provenant de diverses sources, en particulier les applications Internet, StatCounter, W3Counter et Wikipedia lui-même. Ils ont constaté que les parts, en moyenne mondiale, étaient Internet Explorer 43,2%, Mozilla Firefox 28,6%, Google Chrome 14,6%, Safari 6,3%, Opera 2,6% et autres navigateurs mobiles 4,7% ; Mozilla Firefox et Google Chrome sont des FLOSS, donc au moins 43,2% des internautes utilisent des outils FLOSS. Cela varie selon les régions, par exemple, en Europe, Firefox est le navigateur Web le plus populaire, et le FLOSS dans son ensemble a une avance considérable.

3. Les téléphones intelligents Android basés sur Linux sont devenus une force puissante du marché. Au cours d’une période de trois mois se terminant en novembre 2010 aux États-Unis, les parts de marché étaient de RIM 33,5% (baisse de 4,1%), Android 26% (hausse de 6,4%), Apple 25% (hausse de moins de 1%), Microsoft 9% (baisse de 1,8%), Palm 3,9% (baisse de 0,7%), par Comscore comme indiqué dans InformationWeek 2011. Gartner et Nielson ont également publié des données de parts de marché montrant la croissance d’Android.

4. GNU/Linux est l’OS de serveur web n°2 sur Internet public (comptage par machine physique), selon une étude de Netcraft réalisée en mars et juin 2001. Certaines des enquêtes de Netcraft ont également inclus des données sur les systèmes d’exploitation ; deux enquêtes de 2001 (leurs enquêtes de juin 2001 et de septembre 2001) ont révélé que GNU/Linux est le deuxième système d’exploitation pour les serveurs Web lors du comptage des machines physiques (et a constamment gagné des parts de marché depuis février 1999). Comme Netcraft le souligne lui-même, l’enquête habituelle sur les serveurs Web Netcraft (dont il a été question plus haut) compte les noms d’hôtes des serveurs Web plutôt que les ordinateurs physiques, et ne mesure donc pas des éléments tels que la base matérielle installée. Les entreprises peuvent exploiter plusieurs milliers de sites Web sur un seul ordinateur, et la plupart des sites Web du monde se trouvent dans des entreprises d’hébergement et de colocation.

Netcraft a donc mis au point une technique qui indique le nombre d’ordinateurs réels utilisés comme serveurs Web, ainsi que le système d’exploitation et le logiciel de serveur Web utilisés (en disposant plusieurs adresses IP pour répondre simultanément à Netcraft et en analysant ensuite les réponses). Il s’agit d’une approche statistique, de sorte que de nombreuses visites sur le site sont utilisées sur une période d’un mois pour établir une certitude suffisante. Dans certains cas, le système d’exploitation détecté est celui d’un périphérique « frontal » plutôt que celui du serveur Web qui exécute la tâche. Néanmoins, Netcraft estime que les marges d’erreur à l’échelle mondiale sont de l’ordre de plus ou moins 10 %, et qu’il s’agit en tout état de cause des meilleures données disponibles.

Avant de présenter les données, il est important d’expliquer le système de datation des données de Netcraft. Netcraft date ses informations en se basant sur les enquêtes du serveur Web (et non sur la date de publication), et ne rapporte que les résumés d’OS d’un mois antérieur. Ainsi, l’enquête « juin 2001 » a été publiée en juillet et couvre les résultats de l’enquête OS de mars 2001, tandis que l’enquête « septembre 2001 » a été publiée en octobre et couvre les résultats de l’enquête système d’exploitation de juin 2001.

Voici un résumé des résultats de l’étude Netcraft :

OS group Percentage (March) Percentage (June) Composition
Windows 49.2% 49.6% Windows 2000, NT4, NT3, Windows 95, Windows 98
[GNU/]Linux 28.5% 29.6% [GNU/]Linux
Solaris 7.6% 7.1% Solaris 2, Solaris 7, Solaris 8
BSD 6.3% 6.1% BSDI BSD/OS, FreeBSD, NetBSD, OpenBSD
Other Unix 2.4% 2.2% AIX, Compaq Tru64, HP-UX, IRIX, SCO Unix, SunOS 4 and others
Other non-Unix 2.5% 2.4% MacOS, NetWare, proprietary IBM OSes
Unknown 3.6% 3.0% not identified by Netcraft OS detector

Tout dépend de ce que vous voulez mesurer. Plusieurs des BSDs (FreeBSD, NetBSD, et OpenBSD) sont aussi des FLOSS ; ainsi au moins une partie des 6.1% pour BSD devrait être ajoutée aux 29.6% de GNU/Linux pour déterminer le pourcentage des OS FLOSS utilisés comme serveurs web. Ainsi, il est probable qu’environ un tiers des ordinateurs desservant le Web utilisent des systèmes d’exploitation FLOSS. Il existe également des différences régionales, par exemple, GNU/Linux dirige Windows en Allemagne, en Hongrie, en République tchèque et en Pologne.

Les sites Web bien connus utilisant FLOSS incluent Google (GNU/Linux) et Yahoo (FreeBSD).

Si vous voulez vraiment en savoir plus sur la répartition du marché des serveurs web « Unix vs. Windows », vous pouvez trouver cela aussi dans cette étude. Tous les différents systèmes d’exploitation Windows sont regroupés en un seul numéro (même Windows 95/98 et Windows 2000/NT4/NT3 sont fusionnés, bien qu’ils soient fondamentalement des systèmes très différents). La fusion de tous les systèmes de type Unix de manière similaire produit un total de 44,8% pour les systèmes de type Unix (contre 49,2% pour Windows) en mars 2001.

Notez que ces chiffres seraient probablement très différents s’ils étaient basés sur des adresses Web plutôt que sur des ordinateurs physiques ; dans un tel cas, la nette majorité des sites Web sont hébergés par des systèmes de type Unix. Comme l’indique Netcraft, « Bien qu’Apache fonctionnant sur différents systèmes Unix exécute plus de sites que Windows, Apache est largement déployé dans les sociétés d’hébergement et les FAI qui s’efforcent d’exécuter autant de sites que possible sur un seul ordinateur pour économiser des coûts ».

5. GNU/Linux est l’OS serveur n°1 sur Internet public (en comptant par nom de domaine), selon une enquête réalisée en 1999 auprès de sites principalement européens et éducatifs. La première étude que j’ai trouvée qui a examiné la pénétration du marché de GNU/Linux est une enquête réalisée par Zoebelein en avril 1999. Cette enquête a révélé que, sur le nombre total de serveurs déployés sur Internet en 1999 (utilisant au moins ftp, news ou http (WWW)) dans une base de données de noms qu’ils utilisaient, l’OS #1 était GNU/Linux (à 28,5%), les autres étant derrière. Il est important de noter que cette enquête, qui est la première que j’ai trouvée pour tenter de répondre à des questions de parts de marché, a utilisé les bases de données existantes de serveurs du.edu (domaine éducatif) et de la base de données RIPE (qui couvre l’Europe, le Moyen-Orient, une partie de l’Asie et une partie de l’Afrique), ce qui ne constitue pas vraiment une enquête de « l’Internet dans son ensemble » (par exemple, il omet « .com  » et « .net »). Il s’agit d’un comptage par nom de domaine (p. ex. le nom de texte que vous tapez dans un navigateur Web pour un emplacement) plutôt que par ordinateur physique, de sorte que le comptage est différent de celui de l’étude Netcraft de juin 2001. De plus, cette étude a compté les serveurs fournissant des services ftp et de nouvelles (pas seulement les serveurs web).

Voici comment les différents systèmes d’exploitation se sont comportés dans l’étude :

 

Operating System Market Share Composition
GNU/Linux 28.5% GNU/Linux
Windows 24.4% All Windows combined (including 95, 98, NT)
Sun 17.7% Sun Solaris or SunOS
BSD 15.0% BSD Family (FreeBSD, NetBSD, OpenBSD, BSDI, …)
IRIX 5.3% SGI IRIX

Une partie de la famille des BSD est également constituée de FLOSS, de sorte que le total des OS FLOSS est encore plus élevé ; si plus des 2/3 des BSD sont des FLOSS, alors la part totale des FLOSS serait d’environ 40%. Les partisans des systèmes de type Unix remarqueront que la majorité d’entre eux (environ 66%) utilisaient des systèmes de type Unix, alors que seulement 24% d’entre eux utilisaient une variante de Microsoft Windows.

6. GNU/Linux était l’OS serveur n°2 vendu en 1999, 2000 et 2001. Selon une enquête IDC de juin 2000 sur les licences 1999, 24% de tous les serveurs (en comptant les serveurs Internet et intranet) installés en 1999 fonctionnaient sous GNU/Linux. Windows NT arrive en tête avec 36% ; toutes Unix confondues, toutes Unix confondues, ce chiffre s’élève à 15%. Encore une fois, puisque certains des Unixes sont des systèmes FLOSS (par exemple, FreeBSD, OpenBSD, et NetBSD), le nombre de systèmes FLOSS est en fait supérieur aux chiffres de GNU/Linux. Notez que tout dépend de ce que vous voulez compter ; 39% de tous les serveurs installés à partir de cette enquête étaient de type Unix (c’est-à-dire 24%+15%), donc les serveurs « de type Unix » étaient en fait n°1 en part de marché installé une fois GNU/Linux et Unix comptés ensemble.

IDC a publié une étude similaire le 17 janvier 2001 intitulée « Server Operating Environments : Bilan de l’année 2000 « . Sur le serveur, Windows représentait 41 % des ventes de nouveaux systèmes d’exploitation pour serveurs en 2000, soit une croissance de 20 %, mais GNU/Linux représentait 27 % et a connu une croissance encore plus rapide, de 24 %. Les autres grandes Unixes avaient 13%.

Le rapport de 2002 d’IDC a révélé que Linux s’est maintenu à 25% en 2001. Tout cela est d’autant plus intrigant que GNU/Linux détenait 0,5% du marché en 1995, selon une citation de Forbes d’IDC. De telles données (et les données TCO montrées plus loin) ont inspiré des déclarations comme celle-ci de IT-Director du 12 novembre 2001 : « Linux sur le bureau est encore trop tôt pour appeler, mais sur le serveur il semble maintenant impossible de l’arrêter ».

Ces mesures ne mesurent pas tous les systèmes serveurs installés cette année-là ; certains systèmes Windows sont des copies qui n’ont pas été payées (parfois appelées logiciels piratés), et les OS FLOSS tels que GNU/Linux et les BSD sont souvent téléchargés et installés sur plusieurs systèmes (puisque c’est légal et gratuit).

Notez qu’une étude publiée le 28 octobre 2002 par la société d’analystes informatiques Butler Group a conclu que d’ici 2009 ou avant, Linux et Microsoft.Net auront pleinement pénétré le marché des systèmes d’exploitation pour serveurs, des serveurs de fichiers et d’impression jusqu’aux ordinateurs centraux.

7. Les systèmes GNU/Linux et Windows (lorsque Windows CE et XP sont combinés) sont les leaders et essentiellement même en termes d’utilisation par les développeurs pour les futurs projets embarqués, selon Evans Data Corporation (EDC). Leur enquête auprès des développeurs de systèmes embarqués, réalisée en juillet 2002, demandait aux développeurs « Pour chacun des systèmes d’exploitation suivants, veuillez indiquer si vous ciblez l’OS sur votre projet actuel ou votre prochain projet ». Ils ont recueilli des données auprès de 444 développeurs. Leurs résultats : 30,2% des développeurs embarqués utilisent ou prévoient d’utiliser Linux, tandis que 16,2% disent qu’ils utiliseront Windows CE et 14,4% disent qu’ils utiliseront Windows XP Embedded. Si les deux systèmes Windows sont combinés, cela donne aux systèmes d’exploitation Windows Embedded un avantage statistiquement insignifiant par rapport à Linux Embedded (à 30,6% contre 30,2%). Cependant, Embedded Linux a presque doublé son taux de croissance, et combiner deux systèmes Windows différents en une seule valeur est quelque peu trompeur. Le système d’exploitation embarqué VxWorks de Wind River, le leader actuel du marché des logiciels embarqués, « est légèrement en retard sur Linux embarqué pour l’utilisation actuelle des projets, et le gain modeste de VxWorks de seulement 2,9% pour une utilisation prévue dans les projets futurs le place à une troisième place lointaine, avec moins de la moitié du taux de consommation des deux futurs chefs de projet (Windows Embedded and Embedded Linux) ».

8. Une enquête Evans Data publiée en novembre 2001 a révélé que 48,1% des développeurs internationaux et 39,6% des Nord-Américains prévoient de cibler la plupart de leurs applications sur GNU/Linux. En octobre 2002, ils ont découvert que 59% des développeurs s’attendaient à écrire des applications Linux au cours de l’année prochaine. L’édition de novembre 2001 de la série Evans Data International Developer Survey Series a fait état d’entretiens approfondis avec plus de 400 développeurs représentant plus de 70 pays, et a constaté que lorsqu’on leur a demandé quel système d’exploitation ils prévoient de cibler avec la plupart de leurs applications l’année prochaine, 48,1% des développeurs internationaux et 39,6% des nord-américains ont déclaré qu’ils prévoient de viser la plupart de leurs applications GNU/Linux. C’est surprenant puisque seulement un an auparavant, moins d’un tiers de la communauté internationale du développement écrivait des applications GNU/Linux. L’enquête a également révélé que 37,8 % de la communauté du développement international et 33,7 % des développeurs nord-américains ont déjà écrit des applications pour GNU/Linux, et que plus de la moitié des personnes interrogées ont suffisamment confiance en GNU/Linux pour l’utiliser dans des applications stratégiques.

Evans Data a mené une enquête en octobre 2002. Dans cette enquête, ils ont rapporté que « Linux continue d’élargir sa base d’utilisateurs. 59% des personnes interrogées s’attendent à écrire des applications Linux l’année prochaine. »

9. Une étude commanditée par IBM sur Linux suggère que GNU/Linux a « gagné » la guerre des serveurs à partir de 2006, puisque 83% utilisaient GNU/Linux pour déployer de nouveaux systèmes contre seulement 23% pour Windows. L’article du 9 novembre 2006 La guerre est finie et Linux gagné par Dana Blankenhorn résume une nouvelle étude commanditée par IBM. IBM a déterminé que 83% des entreprises s’attendent à supporter de nouvelles charges de travail sur Linux l’année prochaine, contre 23% pour Windows. Il a noté, « Plus des deux tiers des personnes interrogées ont déclaré qu’elles allaient augmenter leur utilisation de Linux au cours de l’année prochaine, et presque personne n’a dit le contraire.

10. La moitié de toutes les applications métier critiques devraient fonctionner sous GNU/Linux d’ici 2012. Une enquête menée par Saugatuck Research en janvier 2007 auprès des directeurs informatiques, vice-présidents et directeurs informatiques suggère que près de la moitié des entreprises utiliseront des applications métier critiques sous Linux d’ici cinq ans.

11. Un sondage Evans Data rendu public en février 2004 a révélé que 1,1 million de développeurs en Amérique du Nord travaillaient sur des projets FLOSS. La North American Developer Population Study d’Evans Data a examiné le nombre de développeurs de logiciels utilisant diverses approches. Elle a constaté que plus de 1,1 million de développeurs en Amérique du Nord passaient au moins une partie de leur temps à travailler sur des projets de développement Open Source. C’est un nombre extraordinairement élevé de personnes, et cela ne tient même pas compte des développeurs d’autres pays. Beaucoup ne développent qu’à temps partiel, mais beaucoup de gens peuvent développer beaucoup de logiciels, et le fait d’avoir un grand nombre de personnes augmente la probabilité d’idées et d’innovations utiles dans divers projets FLOSS.

12. Un sondage InformationWeek de 2004 a révélé que 67 % des entreprises utilisent les produits FLOSS, et 16 % s’attendent à les utiliser en 2005 ; seulement 17 % n’ont aucun plan à court terme pour les produits FLOSS. L’article d’Helen D’Antoni paru le 1er novembre 2004 dans InformationWeek, intitulé Open-Source Software Use Joins The Mix, fait état des résultats d’InformationWeek Research, qui a mesuré l’adoption de « l’architecture open-source » et constaté que l’adoption est généralisée. L’enquête a également révélé d’autres résultats intéressants : « En général, les entreprises ne considèrent pas les logiciels libres comme risqués. Il fonctionne souvent avec des logiciels[propriétaires] et développés en interne, et en raison de cette acceptation, le code source ouvert est utilisé plus largement. Son utilisation évolue au fur et à mesure que les entreprises cherchent des moyens rentables de gérer leurs dépenses en logiciels. » Parmi les entreprises qui utilisent les logiciels libres, elles ont constaté que 42 % d’entre elles mettent en œuvre des opérations de base de données de production utilisant les logiciels libres, et que 33 % d’entre elles en envisagent l’utilisation ; seulement 25 % n’utilisent pas ou n’envisagent pas d’utiliser les logiciels libres pour leur base de données de production.

13. Une enquête japonaise a révélé que GNU/Linux était largement utilisé et soutenu ; l’utilisation globale de GNU/Linux est passée de 35,5% en 2001 à 64,3% en 2002 des entreprises japonaises, et GNU/Linux était la plate-forme la plus populaire pour les petits projets. Le livre Linux White Paper 2003 (publié par Impress Corporation) examine l’utilisation de GNU/Linux au Japon (c’est une mise à jour d’un livre précédent, « Linux White Paper 2001-2002 »). Ceci est écrit en japonais ; voici un bref résumé de son contenu.

L’enquête comporte deux parties, l’utilisateur et le fournisseur. Dans la « Partie I : Entreprise utilisatrice », ils ont interrogé 729 entreprises qui utilisent des serveurs. Dans la « Partie II : Entreprise vendeuse », ils ont interrogé 276 fournisseurs d’ordinateurs serveurs, dont des intégrateurs de systèmes, des développeurs de logiciels, des fournisseurs de services informatiques et des revendeurs de matériel. Les résultats les plus intéressants sont ceux qui traitent de l’utilisation des serveurs Linux dans les entreprises utilisatrices, du support des serveurs Linux par les fournisseurs et de l’adoption des serveurs Linux dans les projets d’intégration système.

Tout d’abord, l’utilisation des serveurs Linux dans les entreprises utilisatrices :

System 2002 2001
Linux server 64.3% 35.5%
Windows 2000 Server 59.9% 37.0%
Windows NT Server 64.3% 74.2%
Commercial Unix server 37.7% 31.2%

Plus précisément, voici l’utilisation moyenne en 2002 :

System Ave. units # samples
Linux server 13.4 N=429 (5.3 in 2001)
Windows 2000 Server 24.6 N=380
Windows NT Server 4.5 N=413
Commercial Unix server 6.9 N=233

Les serveurs Linux sont la catégorie qui connaît la croissance la plus rapide depuis l’an dernier. Le nombre moyen d’unités de serveur par entreprise a été multiplié par 2,5, passant de 5,3 unités à 13,4 unités.

Deuxièmement, notez le support des serveurs GNU/Linux par les fournisseurs :

System Year 2002 Support
Windows NT/2000 Server 66.7%
Linux server 49.3%
Commercial Unix server 38.0%

C’est le taux de vendeurs qui développent ou vendent des produits supportant les serveurs Linux ; notez que Linux est déjà un OS majeur par rapport à ses concurrents. Les raisons de la prise en charge des serveurs Linux ont également été étudiées, qui s’avèrent être différentes de celles d’autres pays (pour un contraste, voir le rapport européen sur les FLOSS) :

Increase of importance in the future 44.1%
Requirement from their customers 41.2%
Major OS in their market 38.2%
Free of licence fee 37.5%
Most reasonable OS for their purpose 36.0%
Open source 34.6%
High reliability 27.2%

Troisièmement, notez le taux d’adoption du serveur Linux dans les projets d’intégration système :

Project Size (Million Yen) Linux Win2000 Unix
2002 2001 2002 2002
0-3 62.7% 65.7% 53.8% 15.4%
3-10 51.5% 53.7% 56.3% 37.1%
10-50 38.3% 48.9% 55.8% 55.8%
50-100 39.0% 20.0% 45.8% 74.6%
100+ 24.4% 9.1% 51.1% 80.0%

Où 1 million de yens = 8 000 $ US. Les serveurs GNU/Linux sont numéro 1 (62,5%) dans les petits projets de moins de 3 000 000 Yen (24 000 $ US), et GNU/Linux a augmenté de 20,0% à 39,0% dans les grands projets de plus de 50 000 000 de Yen (400 000 $ US). Dans les projets de plus de 100 000 000 000 yens (800 000 $ US), Linux est adopté par 24,4 % des projets (principalement en remplacement des systèmes Unix propriétaires). Notez que de nombreux projets (en particulier les grands projets) utilisent plusieurs plates-formes simultanément, de sorte qu’il n’est pas nécessaire que les valeurs totalisent 100 %.

Notez que le livre blanc japonais sur Linux 2003 a révélé que 49,3% des fournisseurs de solutions informatiques supportent Linux au Japon.

14. L’étude européenne sur les FLOSS a révélé une utilisation importante des FLOSS. Le grand rapport Free/Libre and Open Source Software (FLOSS) : Survey and Study, publié en juin 2002, a examiné de nombreuses questions, y compris l’utilisation des FLOSS. Cette étude a révélé une variance significative dans l’utilisation des FLOSS ; 43,7 % des établissements allemands ont déclaré utiliser les FLOSS, 31,5 % des établissements britanniques ont déclaré utiliser les FLOSS, tandis que seulement 17,7 % des établissements suédois ont déclaré utiliser les FLOSS. De plus, ils ont constaté que les taux d’utilisation du logiciel libre dans les grands établissements étaient plus élevés que dans les petits établissements et que les taux d’utilisation du logiciel libre dans le secteur public étaient supérieurs à la moyenne.

15. Microsoft a sponsorisé sa propre recherche pour « prouver » que GNU/Linux n’est pas aussi largement utilisé, mais cette recherche s’est avérée sérieusement défectueuse. Microsoft a commandité un rapport de Gartner Dataquest, selon lequel seulement 8,6 % des serveurs expédiés aux États-Unis au cours du troisième trimestre de 2000 étaient sous Linux. Cependant, il est intéressant de noter que Microsoft (en tant que commanditaire de la recherche) a tout intérêt à créer de faibles nombres, et ces nombres sont très différents des recherches d’IDC dans le même domaine. Kusnetzky d’IDC a commenté que l’explication probable est que Gartner a utilisé une définition très étroite de « shipped » ; il pensait que le nombre était « tout à fait raisonnable » s’il s’agissait seulement d’interroger les nouveaux serveurs sous Linux, « mais notre recherche est que ce n’est pas ainsi que la plupart des utilisateurs obtiennent leur Linux. Nous avons constaté que seulement 10 à 15% de l’adoption de Linux provient de machines pré-installées… pour chaque copie payante de Linux, il existe une copie gratuite qui peut être répliquée 15 fois. » Notez qu’il est assez difficile d’acheter un nouvel ordinateur x86 sans un système d’exploitation Microsoft (les contrats de Microsoft avec les fabricants d’ordinateurs le garantissent), mais cela ne signifie pas que ces systèmes sont utilisés. Le Gartner a affirmé qu’il avait eu recours à des entrevues pour contrer ce problème, mais les résultats finaux de sa recherche (comparés à des faits connus) suggèrent que le Gartner n’a pas vraiment contré cet effet. Par exemple, Gartner affirme que les livraisons de Linux dans le domaine des supercalculateurs étaient nulles. En fait, Linux est largement utilisé sur les clusters parallèles de marchandises sur de nombreux sites scientifiques, y compris de nombreux sites très médiatisés. Beaucoup de ces systèmes ont été assemblés en interne, ce qui montre que la méthode de Gartner pour définir une « expédition » ne semble pas correspondre aux installations opérationnelles. L’article du Registre, « Personne n’utilise Linux » (avec son article complémentaire « 90% Windows… ») en discute plus en détail. Bref, les recherches parrainées par Microsoft ont fait état de faibles chiffres, mais ces chiffres sont tout à fait suspects.

16. Les entreprises prévoient d’accroître leur utilisation de GNU/Linux. Une étude de Zona Research a révélé que plus de la moitié des grandes entreprises interrogées s’attendaient à des augmentations allant jusqu’à 25 % du nombre d’utilisateurs GNU/Linux dans leur entreprise, tandis que près de 20 % s’attendaient à des augmentations de plus de 50 %. Dans les petites entreprises, plus d’un tiers pensent que l’utilisation de GNU/Linux va augmenter de 50%. Les facteurs les plus importants qui ont motivé ces décisions étaient la fiabilité, le prix plus bas, la rapidité des applications et l’évolutivité. Voici les chiffres :

Expected GNU/Linux Use Small Business Midsize Business Large Business Total
50% increase 21.0% 16% 19.0% 19%
10-25% increase 30.5% 42% 56.5% 44%
No growth 45.5% 42% 24.5% 36%
Reduction 3.0% 0% 0% 1%

Vous pouvez en savoir plus sur cette étude dans « La Nouvelle Religion » : Linux et l’Open Source » (ZDNet) et dans l’article d’InfoWorld du 5 février 2001 « Linux allume l’entreprise : Mais des inquiétudes pèsent sur la rentabilité des fournisseurs de systèmes d’exploitation. »

17. Les 1000 premiers fournisseurs d’accès Internet du monde s’attendent à une augmentation de 154% de l’utilisation de GNU/Linux, selon l’enquête réalisée par Idaya de janvier à mars 2001. Une enquête menée par Idaya auprès des 1000 premiers FAI mondiaux a révélé qu’ils s’attendaient à ce que GNU/Linux connaisse une croissance supplémentaire de 154% en 2001. Par ailleurs, près des deux tiers (64 %) des FAI considèrent que le logiciel open source leader répond à la norme requise pour les applications au niveau de l’entreprise, comparable aux logiciels propriétaires. Idaya produit des logiciels FLOSS, alors gardez cela à l’esprit comme un biais potentiel.

18. Une enquête européenne de 2002 a révélé que 49 % des DSI des services financiers, du commerce de détail et du secteur public s’attendent à utiliser le FLOSS. OpenForum Europe a publié en février 2002 une étude intitulée Market Opportunity Analysis For Open Source Software. Pendant trois mois, les DSI et les directeurs financiers des services financiers, du commerce de détail et du secteur public ont été interrogés dans le cadre de cette enquête. Dans cette enquête, 37 % des DSI ont déclaré qu’ils utilisaient déjà les FLOSS et 49 % s’attendaient à les utiliser à l’avenir. Il est fort probable qu’encore plus d’entreprises utilisent le FLOSS, mais leurs DSI ne le savent pas. Parmi les avantages perçus cités, mentionnons la diminution des coûts en général (54 %), la diminution du coût des licences logicielles (24 %), un meilleur contrôle sur le développement (22 %) et une sécurité accrue (22 %).

19. IBM a constaté une croissance de 30% du nombre d’applications au niveau de l’entreprise pour GNU/Linux au cours de la période de six mois se terminant en juin 2001. A une certaine époque, il était courant d’affirmer que  » Il n’y a pas assez d’applications fonctionnant sous GNU/Linux  » pour une utilisation au niveau de l’entreprise. Cependant, IBM a découvert qu’il existe plus de 2300 applications GNU/Linux (soit une augmentation de 30% sur 6 mois) disponibles auprès d’IBM et des principaux éditeurs de logiciels indépendants (ISV) de l’industrie. Un rapport spécial de Network Computing on Linux for the Enterprise discute de certaines des forces et faiblesses de GNU/Linux, et a trouvé beaucoup de choses positives à dire sur GNU/Linux pour les applications de classe entreprise.

20. Morgan Stanley a trouvé une utilisation significative et croissante de GNU/Linux. Ils ont interrogé 225 DSI en août 2002, et parmi les personnes interrogées, 29% ont déclaré qu’ils possédaient des serveurs GNU/Linux, 8% n’en possédaient pas mais envisageaient formellement de les acheter, et 17% des DSI ont déclaré qu’ils n’en possédaient pas et n’envisageaient pas officiellement d’en acquérir mais qu’ils les envisageaient de façon informelle. Les autres (un peu moins de la moitié, soit 46 %) ont indiqué qu’ils ne possédaient pas GNU/Linux et ne l’envisageaient pas. Parmi ceux qui ont récemment acheté de nouveaux serveurs GNU/Linux, 31 % ont ajouté de la capacité, 31 % ont remplacé des systèmes Windows, 24 % ont remplacé Unix et 14 % ont remplacé d’autres OS. Il est plus facile de passer d’Unix à GNU/Linux qu’à partir de Windows, il est donc intriguant que Windows soit remplacé plus souvent qu’Unix. CNet news a commenté cette étude avec des commentaires supplémentaires sur l’open source par rapport à Microsoft.

21. Le chiffre d’affaires des ventes de systèmes serveurs basés sur GNU/Linux a augmenté de 90% au quatrième trimestre 2002 par rapport au quatrième trimestre 2001. Cette augmentation de 90 % se compare fortement à l’augmentation de 5 % des revenus du marché des serveurs dans son ensemble. Ces données ont été déterminées par Gartner Dataquest et publiées dans C|Net.

Les ventes de serveurs GNU/Linux ont augmenté de 63% entre 2001 et 2002. Il s’agit d’une augmentation de 1,3 milliard de dollars à 2 milliards de dollars, selon Gartner.

22. Dans un sondage réalisé par Forrester Research Inc. auprès des utilisateurs professionnels, 52 % d’entre eux ont déclaré qu’ils remplacent maintenant les serveurs Windows par Linux. Business Week a cité cette étude dans un article de janvier 2005, notant que GNU/Linux oblige Microsoft à offrir des remises pour éviter de perdre encore plus de ventes.

23. Une enquête réalisée en 2001 a révélé que 46,6% des professionnels de l’informatique étaient confiants que leur organisation pouvait prendre en charge GNU/Linux, un chiffre plus élevé que n’importe quel système d’exploitation sauf Windows. Une enquête de TechRepublic Research intitulée Benchmarks, Trends, and Forecasts : Linux Report a trouvé que le  » support de Linux est étonnamment étendu  » lorsqu’il a interrogé les professionnels de l’informatique et leur a demandé avec quelle confiance leurs organisations pouvaient prendre en charge différents systèmes d’exploitation. Étant donné la domination de Windows sur le marché des ordinateurs de bureau, il n’est pas surprenant que la plupart d’entre eux soient confiants que leur entreprise puisse supporter différentes versions de Windows (pour Windows NT, le chiffre était de 90,6% ; pour Windows 2000, 81,6%). Cependant, GNU/Linux arrive en troisième position, avec 46,4 % ; environ la moitié des personnes interrogées ont répondu que leurs organisations avaient déjà confiance en leur capacité à soutenir GNU/Linux ! C’est d’autant plus choquant que GNU/Linux a battu d’autres produits bien connus ayant une longue histoire, notamment Unix (42,1%), Novell Netware (39,5%), Sun Solaris (25,7%), et Apple (13,6%). TechRepublic a suggéré qu’il y a plusieurs raisons possibles à ce résultat étonnamment important :

GNU/Linux est considéré comme une technologie en plein essor ; de nombreux professionnels de l’informatique l’étudient déjà et apprennent à l’utiliser, en supposant que ce sera une compétence commercialisable dans un avenir proche.
De nombreux professionnels de l’informatique utilisent déjà GNU/Linux à la maison, ce qui donne à GNU/Linux une entrée dans les organisations professionnelles.
Puisque GNU/Linux est similaire à Unix, les professionnels de l’informatique qui sont compétents en Unix peuvent facilement prendre GNU/Linux.

TechRepublic suggère aux responsables informatiques d’inventorier les compétences de leur personnel, car ils pourraient découvrir que leur organisation peut déjà supporter GNU/Linux s’ils ne l’utilisent pas actuellement.

24. Sendmail, un programme FLOSS, est le principal serveur de messagerie, d’après les enquêtes de D.J. Bernstein. Une enquête menée entre 2001-09-27 et 2001-10-03 par D.J. Bernstein auprès d’un million d’adresses IP aléatoires connectées avec succès à 958 serveurs SMTP (e-mail) (ces serveurs sont aussi appelés agents de transport de courrier, ou MTAs). Bernstein a constaté que Unix Sendmail détenait la plus grande part de marché (42 % de tous les serveurs de messagerie), suivi de Windows Microsoft Exchange (18 %), Unix qmail (17 %), Windows Ipswitch IMail (6 %), Unix smap (2 %), UNIX Postfix (auparavant VMailer, 2%) et Unix Exim (1%). Notez que Bernstein implémente l’un des concurrents de Sendmail (qmail), il a donc un effet dissuasif pour identifier l’importante part de marché de Sendmail. A l’époque qmail n’était pas FLOSS, car les dérivés modifiés de Qmail ne pouvaient pas être librement redistribués (sans autorisation expresse de l’auteur). Qmail était « visible à la source », de sorte que certaines personnes ont été confondues en croyant que Qmail était FLOSS. Depuis lors, qmail a été publié dans le domaine public et donc dans le FLOSS. Cependant, Sendmail, Postfix et Exim étaient tous des FLOSS à l’époque. En effet, non seulement le principal programme (Sendmail) est le FLOSS, mais ce programme FLOSS a plus du double des installations de ses concurrents les plus proches.

25. L’enquête de MailChannel (publiée en 2007) a montré que les deux principaux serveurs de messagerie (Sendmail et Postfix) sont des programmes FLOSS. Fingerprinting the World’s Mail Servers a décrit une approche d’enquête différente : Pour éviter d’inclure les spammeurs, ils ont d’abord commencé par une liste de 400 000 entreprises dans le monde, puis ont déterminé quel était leur logiciel de serveur de messagerie externe. Ils ont même envoyé des commandes erronées pour revérifier leurs résultats (différents serveurs ont produit des résultats différents). Les deux serveurs de messagerie les plus populaires étaient Sendmail (12,3%) et Postfix (8,6%). Viennent ensuite Postini (8,5%), Microsoft Exchange (7,6%), MXLogic (6,0%), qmail (5,3%) et Exim (5,0%).

26. Une enquête menée au deuxième trimestre de 2000 a révélé que 95 % de tous les serveurs de noms de domaine (DNS) à consultation inversée utilisaient bind, un produit FLOSS. L’Internet est construit à partir de nombreux éléments d’infrastructure généralement invisibles. Cela inclut les serveurs de noms de domaine (DNS), qui prennent les noms de machines lisibles par l’homme (comme « yahoo.com ») et les traduisent en adresses numériques. Les machines accessibles au public prennent généralement en charge les « reverse lookups », qui convertissent les numéros en noms ; pour des raisons historiques, ceci est implémenté en utilisant le domaine caché « in-addr.arpa ». En sondant le domaine in-addr, vous pouvez avoir un aperçu de la façon dont l’ensemble de l’Internet est pris en charge. Bill Manning a étudié le domaine in-addr et a constaté que 95% de tous les serveurs de noms (en 2q2000) effectuant cette importante tâche d’infrastructure Internet sont une version de « bind ». Ceci inclut tous les serveurs racine DNS, qui sont critiques pour le bon fonctionnement d’Internet. Bind est un programme FLOSS.

27. Un sondage réalisé en mai 2004 a révélé que plus de 75 % de tous les domaines DNS sont desservis par un programme FLOSS. Le sondage de Don Moore sur les serveurs DNS a été complété le 23 mai 2004. Il a constaté que BIND (un programme FLOSS) desservait 70,105 % de tous les domaines, suivi de TinyDNS (15,571 %), Microsoft DNS Server (6,237 %), MyDNS (2,792 %), PowerDNS (1,964 %), SimpleDNS Plus (1,25 %), inconnu (1,138 %) et Pliant DNS Server (0,277 %), avec plusieurs autres en retrait. Puisque BIND, MyDNS, PowerDNS et Pliant sont tous des FLOSS, les programmes FLOSS servent 75,138% de tous les domaines DNS. Les chiffres sont différents si vous comptez par installation au lieu de par domaine, mais les FLOSS dominent toujours. En comptant par plate-forme, nous avons BIND (72,598%), Microsoft (21,711%), TinyDNS (2,587%), inconnu (1,041%), Simple DNS Plus (0,922%), MyDNS (0,314%), PowerDNS (0,26%). Totalling BIND, MyDNS, et PowerDNS produit le chiffre trivialement plus petit de 73.172% supporté par DNS. Cette différence de chiffres montre qu’environ 3 organisations sur 4 choisissent le FLOSS BIND lors de l’installation d’un serveur DNS, et 1 sur 4 qui ne le font pas et choisissent ensuite Microsoft ont tendance à être celles qui supportent moins de domaines (sinon le nombre de domaines Microsoft serait plus important). Quoi qu’il en soit, étant donné la nature critique du DNS sur Internet, il est clair que le FLOSS en est un élément essentiel.

28. PHP est le premier langage de script côté serveur du Web. PHP, acronyme récursif pour « PHP : Hypertext Preprocessor », est un langage de script côté serveur open source conçu pour créer des pages Web dynamiques (par exemple, e-commerce). Tel qu’indiqué dans un article du 3 juin 2002, PHP a récemment dépassé l’ASP de Microsoft pour devenir la technologie de script Web côté serveur la plus populaire sur Internet, et a été utilisé par plus de 24 % des sites sur Internet. Sur les 37,6 millions de sites Web étudiés dans le monde, PHP fonctionne sur plus de 9 millions de sites, et au cours des années 2000 à 2002, PHP a connu un taux de croissance mensuel moyen de 6,5%. Depuis ce temps, PHP a continué à être largement utilisé. (Les taux ont augmenté entre 2003 et 2003, puis ont légèrement diminué, bien que cela soit probablement dû aux nombreuses technologies alternatives disponibles, telles que Python et Ruby.)

29. OpenSSH est la première implémentation du protocole de sécurité SSH sur Internet. Le protocole Secure Shell (SSH) est largement utilisé pour se connecter en toute sécurité aux ordinateurs et les contrôler à distance (à l’aide d’une interface texte ou graphique X-Windows). En avril 2002, une enquête menée auprès de 2,4 millions d’adresses Internet a révélé qu’OpenSSH, une implémentation FLOSS de SSH, était la première implémentation, avec 66,8% du marché ; le « SSH » propriétaire avait 28,1%, Cisco avait 0,4% et les autres 4,7% total. En septembre 2004, OpenSSH avait atteint une part dominante de 87,9%. Vous pouvez voir des informations générales sur l’enquête, les statistiques spécifiques aux sciences humaines pour avril 2002 et les statistiques spécifiques aux sciences humaines pour septembre 2004. Il est également intéressant de noter qu’OpenSSH détenait moins de 5% du marché au troisième trimestre 2000, mais son utilisation a régulièrement augmenté. Au quatrième trimestre 2001, plus de la moitié des utilisateurs du protocole SSH utilisaient OpenSSH, et sa part de marché n’a cessé de croître depuis.

30. CMP TSG/Insight a trouvé que 41% des outils de développement d’applications étaient des FLOSS, et VARBusiness a trouvé 20% de toutes les entreprises utilisant GNU/Linux. VARBusiness a publié en septembre 2003 un article sur « The Rise of Linux ». Dans l’article, il fait état d’une constatation de CMP TSG/Insight : 41 % des outils de développement d’applications utilisés étaient FLOSS, le deuxième après Microsoft (76 %) et Oracle (35 %), IBM (26 %), Sun (21 %), et Borland (18 %). Ils ont également rapporté leur propre constatation que 20% de toutes les entreprises interrogées étaient GNU/Linux, probablement moins que Microsoft, mais deux fois plus que Netware et Unix. En effet, ils notent que GNU/Linux s’est transformé « d’une curiosité à une compétence de base ».

31. La part de marché de MySQL croît plus vite que celle de Windows. Une enquête Evans Data publiée en janvier 2004 a révélé que l’utilisation de la base de données FLOSS MySQL a augmenté de 30% sur l’année, contre 6% pour les bases de données SQL Server et Access de Microsoft, selon une enquête auprès de 550 développeurs. Microsoft détient toujours une part de marché totale beaucoup plus importante sur le marché du développement de bases de données, mais Evans Data a rapporté que le prix du logiciel FLOSS et sa capacité à s’intégrer avec d’autres logiciels s’accordent bien avec les priorités des développeurs d’applications et que les préoccupations concernant la stabilité, les coûts et la façon dont une base de données joue avec les autres conduisent un nombre rapidement croissant de… entreprises à envisager sérieusement et à mettre en œuvre une solution de base de données Open Source ». Evans Data a noté que « Nous nous attendons à ce que cette tendance se poursuive car les offres open source sont continuellement améliorées. »

32. En 2004, une étude du CSC a déterminé qu’un pourcentage étonnant de 14 % du marché des systèmes de bureautique des grandes entreprises utilisent FLOSS OpenOffice.org. Société d’experts-conseils Computer Sciences Corp. (CSC) a découvert sans surprise que Microsoft domine le marché des suites bureautiques, avec 95% de la part globale et plus de 300 millions d’utilisateurs dans le monde. Mais étonnamment, ils ont découvert que FLOSS OpenOffice.org a sécurisé 14% du marché des grands systèmes bureautiques d’entreprise, avec plus de 16 millions de téléchargements et d’innombrables installations sur CD.

33. Un sondage mené en février 2005 auprès des développeurs et des administrateurs de bases de données a révélé que 64 % utilisent une base de données Open Source. L’enquête d’Evans Data Corp. sur le développement des bases de données de l’hiver 2005, publiée en février 2005, a révélé une forte augmentation de l’utilisation d’une variété de bases de données FLOSS dans les entreprises américaines. Evans a constaté que 64% (environ deux tiers) utilisent des bases de données Open Source (contre 58% l’année précédente), et que 50% utilisent (ou prévoient utiliser) XQuery et autres services Web ouverts avec leurs données – Open Source ou propriétaires.

Deux facteurs clés semblent être à l’origine de cette augmentation : les répondants au sondage ont indiqué que les bases de données FLOSS augmentent leur performance et leur évolutivité au point qu’elles sont acceptables pour une utilisation dans les environnements d’entreprise, et de nombreuses organisations ont des budgets serrés pour le développement informatique et de bases de données. Evans a découvert que MySQL, PostgreSQL et Firebird étaient des bases de données FLOSS populaires. Evans a trouvé que FireBird est la base de données la plus utilisée parmi tous les programmes de base de données pour les applications’edge’, avec Microsoft Access en deuxième position (à 21%). De plus, MySQL et FireBird sont verrouillés dans un lien virtuel dans l’espace de base de données FLOSS ; chacun est utilisé par un peu plus de la moitié des développeurs de bases de données qui utilisent les bases de données FLOSS.

34. BusinessWeek rapporte que les entreprises de matériel informatique vendent plus d’un milliard de dollars en serveurs pour faire tourner Linux chaque trimestre. L’article de BusinessWeek « Torvalds’ Baby Comes of Age » (3 octobre 2005) rapporte que les entreprises de matériel informatique vendent « plus d’un milliard de dollars en serveurs pour faire tourner Linux chaque trimestre, tandis que les ventes de serveurs utilisant des logiciels propriétaires continuent à baisser ». Ils notent que, selon la société d’études de marché IDC, « Linux est désormais courant sur les grands serveurs d’entreprise – affichant 11 trimestres consécutifs de croissance. » Ils citent également IBM qui affirme que 10 millions de postes de travail ont fonctionné sous Linux en 2004, soit un bond de 40% par rapport à l’année précédente.

35. L’enquête d’InformationWeek de février 2005 a fait état d’une utilisation importante de GNU/Linux, et que 90% des entreprises anticipent une augmentation des licences de serveurs pour GNU/Linux. InformationWeek Research Brief « Linux Outlook » publié en février 2005 a constaté que le « mouvement de l’open-source est en croissance » et que, compte tenu des tendances, le résultat attendu est « une utilisation accrue de Linux et des logiciels open-source[et] un déclin de l’utilisation de Windows NT, 2000 et XP. Il y a deux ans, un obstacle majeur dans l’utilisation de Linux était un support et un service fiables, mais pas plus. » Leur enquête a été menée en janvier 2005 auprès de 439 professionnels de la technologie des affaires. Ils ont constaté que « les produits open-source sont le plus souvent déployés sur des systèmes d’exploitation de serveurs, des applications de serveurs Web, des outils de développement d’applications et des serveurs d’applications ». Quatre sites sur cinq utilisent GNU/Linux sur des serveurs Web ou Intranet. Plus précisément, à la question « Dans quels domaines votre organisation utilise-t-elle Linux », les principaux domaines où GNU/Linux est utilisé sont les systèmes d’exploitation serveur (75%), les applications serveur web (75%), les outils de développement d’applications (68%), les serveurs d’applications (56%) et les systèmes d’exploitation bureau/ordinateur portable (47%). Au cours des 12 prochains mois, Linux devrait remplacer les serveurs Windows NT ou Windows 2000 dans près de la moitié des sites que nous avons étudiés. Trois sites sur cinq s’attendent à utiliser Linux sur des serveurs au lieu de Windows NT ou Windows 2000, et en fait, « près de 90% des entreprises interrogées anticipent une augmentation des licences serveur pour Linux. Aucun autre produit ne répond à ces attentes, ni Windows, ni Macintosh, ni Unix. » Les principales distributions Linux (dans l’ordre) étaient Red Hat, Novell/SuSE et Debian.

Pourquoi tant d’utilisation ? « Le faible coût et l’absence de frais de licence sont les principales raisons[77%] pour lesquelles les entreprises déploient Linux sur PC et serveurs…. Cependant, les inquiétudes concernant la vulnérabilité des produits Microsoft accélèrent également l’adoption de Linux. Parmi les sites utilisant Linux sur PC, 73% le font en réponse à des problèmes de sécurité Windows et 69% cherchent une alternative à Windows. Les deux tiers des sites déclarent que les préoccupations de sécurité de Windows sont le moteur de l’adoption de Linux sur les serveurs tandis que près de trois utilisateurs de serveurs sur cinq veulent une autre option à Windows…. Linux a son avantage sur Windows, avec un faible coût, des performances fiables, un environnement sécurisé, l’innovation future attendue et la confiance dans le modèle de développement open-source. » L’examen plus détaillé de leurs chiffres le confirme. Pour les serveurs, les principales raisons d’utiliser Linux étaient le coût relativement faible (77%), la fiabilité (74%), les performances (73%), les problèmes de sécurité Windows (65%), le besoin d’une alternative à Windows (59%), les recommandations du personnel technique (59%), les outils de développement largement disponibles (46%), la possibilité de modifier le code source pour répondre aux besoins (45%), les correctifs logiciels rapides et la résolution des problèmes (41%) et le respect des exigences ou normes des sociétés (40%). Les principales raisons de l’utilisation de Linux sur PC étaient similaires, mais avec des pondérations relatives différentes : coût relativement faible (75%), problèmes de sécurité Windows (73%), besoin d’une alternative à Windows (69%), fiabilité (60%), performance (52%), recommandations du personnel technique (45%), correctifs logiciels rapides et correction de bugs (44%), outils de développement largement disponibles (42%), possibilité de modifier le code source pour satisfaire les besoins (36%), respect des exigences ou normes des sociétés (34%).

InformationWeek ne prédit pas que tout le monde utilisera GNU/Linux en toutes circonstances d’ici quelques années ; au lieu de cela, ils pensent que leurs données suggèrent que  » une myriade de plates-formes de systèmes d’exploitation continueront à caractériser l’architecture informatique en 2005 et au-delà « . Et le rapport n’a certainement pas de lunettes de soleil roses ; il discute de certains des défis que certains utilisateurs ont dû relever, eux aussi. Mais le rapport note qu’en dépit de cela, « Linux répond aux attentes de la plupart des utilisateurs. Quatre-vingt-quatre pour cent des sites se disent très satisfaits des performances des serveurs Linux (, et la moitié des sites ont rapporté] le même niveau de satisfaction sur PC. » (j’insiste.)

36. Selon une enquête réalisée en 2007, environ la moitié des entreprises fabriquant des produits embarqués utilisent Linux dans leurs produits, avec une tendance à la hausse. L’enquête 2007 de LinuxDevice.com auprès des entreprises créant des systèmes embarqués, 47% utilisaient Linux et 3,6% utilisaient eCos dans au moins certains de ces produits au cours des 2 dernières années. Les deux sont des FLOSS, ce qui représente à peine plus de la moitié du total. Le deuxième en importance était MS Windows avec 12,3%, donc Linux était clairement le leader. Plus intéressant encore, les développeurs s’attendaient à ce que, parmi les systèmes d’exploitation de leurs entreprises, Linux soit utilisé à 59,3 % et eCos 3,7 % dans les deux prochaines années, de sorte que la tendance est clairement à la hausse pour l’utilisation du FLOSS. Cette enquête provient de LinuxDevice.com, donc il y a un risque de fraude numérique, mais leur lectorat est en fait plus large que leur nom ne le suggère ; dans des enquêtes beaucoup plus anciennes, seule une minorité d’entreprises envisageaient même d’utiliser Linux en 2 ans. Il s’agit quand même d’une mise en garde importante, et les répondants sont auto-sélectionnés (ce qui peut souvent biaiser les enquêtes). Néanmoins, il est intéressant de montrer qu’il y a une tendance croissante de l’utilisation, et il a d’autres résultats intéressants sur les environnements embarqués.

37. Optaros, une société d’experts-conseils, rapporte que 87 % des organisations utilisent maintenant des logiciels libres ; BusinessWeek affirme que cela démontre que le FLOSS s’est considérablement développé dans les entreprises. L’article de BusinessWeek de décembre 2005 « A Watershed for Open Source » rapportait qu’en 2005 « l’open source était le mot sur les lèvres non seulement des premiers adeptes mais d’une majorité précoce ». En particulier, l’article notait que  » les DSI ont approuvé des projets open-source[et pas seulement] des ingénieurs de bas niveau… de leur propre initiative[et] les investisseurs en capital-risque se sont réveillés aux nouvelles opportunités commerciales de l’open source « . Ils ont affirmé que les événements majeurs de 2005 étaient que Red Hat a fait beaucoup d’argent avec le logiciel libre (cette « observation » ignore le fait qu’une des sociétés achetées par Red Hat, Cygnus, faisait cela depuis de nombreuses années), l’ouverture par Sun Microsystems d’une grande partie de ses logiciels, les paris de Motorola sur Linux mobile, Firefox sont devenus courants et les investisseurs en capital risque ont investi 400 millions dans les FLOSS (ils estiment que 400 millions ont investi en start-ups FLOSS en 2005). BusinessWeek a utilisé comme l’un de ses supports une étude réalisée par Optaros, qui rapporte que 87% des organisations utilisent maintenant FLOSS. Cette estimation peut être faible ; de nombreux déploiements de FLOSS sont effectués par des personnes de niveau inférieur qui résolvent des problèmes spécifiques. Comme il n’y a généralement pas d’obligation de signaler l’utilisation des FLOSS (il n’y a pas de raison particulière de le faire dans de nombreux cas), la haute direction ne sait souvent pas quand elle les utilise… elle sait simplement que les problèmes sont résolus.

38. L’enquête du printemps 2006 d’IDC a révélé que les développeurs du monde entier utilisent de plus en plus les FLOSS. Comme indiqué dans Ce n’est pas seulement Linux : L’Open Source est arrivé, IDC a interrogé plus de 5.000 développeurs de 116 pays au printemps 2006. Ils ont constaté que le FLOSS est « utilisé par 71% des développeurs dans le monde et est en production dans 54% de leurs organisations. En outre, la moitié des développeurs mondiaux affirment que l’utilisation de l’open source est en augmentation dans leurs organisations. » Steven J. Vaughan-Nichols ajoute que ce rapport montre que  » d’une manière ou d’une autre, les méthodes et logiciels open-source sont utilisés presque partout…. L’Open Source est si omniprésent que IDC déclare dans cette étude que les logiciels libres représentent la tendance la plus importante et la plus globale à long terme que l’industrie du logiciel ait connue depuis le début des années 1980. Les analystes d’IDC pensent également que l’open source finira par jouer un rôle dans le cycle de vie de toutes les grandes catégories de logiciels, et changera fondamentalement la proposition de valeur des logiciels packagés pour les clients. »

M. Anthony Picardi, vice-président principal de la recherche mondiale sur les logiciels d’IDC, a fait des déclarations très intéressantes sur la base de cette étude : « L’utilisation de l’open source au-delà de Linux est omniprésente, utilisée par près des trois quarts des organisations et couvrant des centaines de milliers de projets…. L’impact réel de l’open source est de soutenir les innovations sur les marchés des logiciels matures, prolongeant ainsi la durée de vie des actifs logiciels et permettant aux clients d’économiser de l’argent….. Au fur et à mesure que les exigences commerciales passeront de l’acquisition de nouveaux clients à la fidélisation des clients existants, le paysage concurrentiel évoluera vers des économies de coûts et des innovations durables pour les clients avertis, tout en fournissant des logiciels grand public aux nouveaux segments de marché qui ne sont prêts à payer qu’une fraction des frais de licence des logiciels classiques « , ajoute M. Picardi. « Les logiciels libres sont en fin de compte une ressource pour soutenir les innovateurs. »

Peut-être l’argument le plus simple que GNU/Linux a une part de marché significative (et qu’il est en augmentation) est que Sun modifie son produit Solaris pour exécuter des applications GNU/Linux, et IBM a déjà annoncé que GNU/Linux sera le successeur de la propre AIX d’IBM.

3. Fiabilité

Il y a beaucoup d’anecdotes selon lesquelles les logiciels libres sont plus fiables, mais il y a finalement des données quantitatives qui confirment que les programmes de logiciels libres matures sont souvent plus fiables :

Les applications FLOSS équivalentes sont plus fiables, selon l’étude de Fuzz. L’article « Fuzz Revisited » mesurait la fiabilité en alimentant des programmes avec des caractères aléatoires et en déterminant ceux qui résistaient au crash et au gel. Cette approche est peu susceptible de trouver des échecs subtils, mais les auteurs de l’étude ont constaté que leur approche parvient encore à trouver de nombreuses erreurs dans les logiciels de production et qu’elle est un outil utile pour trouver les défauts des logiciels. De plus, cette approche est extrêmement équitable et peut être largement appliquée à n’importe quel programme, ce qui permet de comparer différents programmes de façon équitable.

Taux d’échec mesurés par Fuzz Tests
Failure rates as measured by Fuzz tests show that FLOSS was the most reliable
Les FLOSS avaient une plus grande fiabilité par cette mesure. Il est dit à la section 2.3.1 que :

Il est également intéressant de comparer les résultats des tests des systèmes commerciaux aux résultats des tests de « freeware » GNU et Linux. Les sept systèmes commerciaux de l’étude de 1995 ont un taux d’échec moyen de 23%, tandis que Linux a un taux d’échec de 9% et les utilitaires GNU ont un taux d’échec de seulement 6%. Il est raisonnable de se demander pourquoi un groupe de programmeurs dispersés dans le monde entier, sans support de test formel ou sans normes d’ingénierie logicielle, peut produire un code plus fiable (du moins, selon notre mesure) que le code produit commercial. Même si vous ne considérez que les utilitaires qui étaient disponibles à partir de GNU ou Linux, les taux d’échec pour ces deux systèmes sont meilleurs que les autres systèmes.

Il est prouvé que les applications Windows sont encore moins fiables que les logiciels Unix propriétaires (p. ex. moins fiables que les logiciels FLOSS). Une étude empirique de la robustesse des applications Windows NT utilisant des tests aléatoires, publiée en 2000, a montré qu’avec les applications Windows NT GUI, elles pouvaient crasher 21 % des applications testées, suspendre 24 % des applications supplémentaires, et crasher ou suspendre toutes les applications testées lorsqu’elles étaient soumises à des messages Win32 aléatoires. En effet, pour faire planter moins de 100% des applications Windows, il a fallu changer les conditions du test pour que certaines mires ne soient pas envoyées. Ainsi, il n’y a aucune preuve que les logiciels propriétaires de Windows sont plus fiables que les FLOSS par cette mesure. Oui, Windows a progressé depuis ce temps – mais les programmes FLOSS aussi.

Bien que l’expérience FLOSS ait été faite en 1995, et que les tests Windows aient été faits en 2000, rien de ce qui s’est passé depuis suggère que le logiciel propriétaire est devenu bien meilleur que les programmes FLOSS depuis lors. En effet, depuis 1995, l’intérêt et la participation aux FLOSS se sont accrus, ce qui s’est traduit par un nombre beaucoup plus important d' » yeux  » pour examiner et améliorer la fiabilité des programmes FLOSS.

Les auteurs du fuzz paper ont également constaté que les éditeurs de logiciels propriétaires ne résolvaient généralement pas les problèmes identifiés dans une version antérieure de leur article (de 1990), et ils ont trouvé cela préoccupant. Il y a eu une légère diminution des taux d’échec entre 1990 et 1995, mais beaucoup des défauts qu’ils ont trouvés (et signalés) dans les programmes Unix propriétaires n’étaient toujours pas corrigés 5 ans plus tard. En revanche, Scott Maxwell s’est efforcé d’éliminer toutes les failles identifiées dans le logiciel FLOSS dans le duvet de 1995, et a finalement corrigé toutes les failles. Ainsi, la réponse de la communauté FLOSS montre pourquoi, au moins en partie, les programmes FLOSS ont un tel avantage en termes de fiabilité ; si des problèmes sont trouvés, ils sont souvent corrigés. Plus intrigant encore, la personne qui a été à l’origine de la résolution de ces problèmes n’était pas un développeur original des programmes – une situation qui n’est possible qu’avec FLOSS.

Maintenant, fais attention : FLOSS n’est pas de la poussière de fée magique ; les logiciels bêta de toutes sortes sont encore buggés ! Cependant, l’expérience de 1995 a mesuré les FLOSS matures par rapport aux logiciels propriétaires matures, et le logiciel FLOSS était plus fiable sous cette mesure.

Des études IBM ont trouvé GNU/Linux très fiable. IBM a effectué une série de tests extrêmement stressants pendant 30 et 60 jours, et a constaté que le noyau Linux et d’autres composants du système d’exploitation de base – y compris les bibliothèques, les pilotes de périphériques, les systèmes de fichiers, les réseaux, les IPC et la gestion de la mémoire – fonctionnaient de manière cohérente et ont terminé toutes les durées de fonctionnement prévues sans aucune défaillance critique du système. Les performances du système Linux n’ont pas été dégradées pendant la longue durée de l’exécution, le noyau Linux a été correctement dimensionné pour utiliser les ressources matérielles (CPU, mémoire, disque) sur les systèmes SMP, le système Linux a bien géré la charge complète continue du CPU (plus de 99%) et le stress mémoire élevé, et le système Linux a correctement géré les circonstances surchargées. IBM a déclaré que ces tests démontrent que « le noyau Linux et les autres composants du système d’exploitation de base sont fiables et stables… et peuvent fournir un environnement robuste, au niveau de l’entreprise pour les clients sur de longues périodes de temps ».

GNU/Linux est plus fiable que Windows NT, selon une expérience ZDnet de 10 mois. ZDnet a effectué un test de fiabilité de 10 mois pour comparer Caldera Systems OpenLinux, Red Hat Linux et Windows NT Server 4.0 de Microsoft avec Service Pack 3. Tous les trois utilisaient du matériel identique (un seul processeur) et des requêtes réseau ont été envoyées à chaque serveur en parallèle pour des services Internet, de fichiers et d’impression standard. Le résultat : NT plante en moyenne une fois toutes les six semaines, chacune prenant environ 30 minutes à réparer ; ce n’est pas mal, mais aucun des deux serveurs GNU/Linux n’est jamais tombé en panne. Cet article de ZDnet fait également un bon travail d’identification des faiblesses de GNU/Linux (par exemple, les applications de bureau et le SMP massif). Espérons que Windows a fait des améliorations depuis cette étude – mais les FLOSS ont certainement aussi fait des améliorations.

GNU/Linux est plus fiable que Windows NT, selon une expérience Bloor Research d’un an. Bloor Research avait les deux systèmes d’exploitation fonctionnant sur des machines Pentium relativement anciennes. Au cours de l’année de test, GNU/Linux s’est planté une fois en raison d’une panne matérielle (problèmes de disque), qui a pris 4 heures à réparer, ce qui lui a donné une disponibilité mesurée de 99,95 %. Windows NT s’est planté 68 fois, causé par des problèmes matériels (disque), de mémoire (26 fois), de gestion de fichiers (8 fois), et divers problèmes étranges (33 fois). Il a fallu 65 heures pour réparer tout cela, soit une disponibilité de 99,26 %. Il est intrigant de constater que le seul problème GNU/Linux et de nombreux problèmes Windows étaient liés au matériel ; on pourrait soutenir que le matériel Windows était pire, ou que GNU/Linux a mieux réussi à éviter et à contenir les pannes matérielles. L’échec de la gestion des fichiers est dû à Windows, et les problèmes étranges apparaissent aussi à Windows, indiquant que GNU/Linux est beaucoup plus fiable que Windows. GNet a résumé cela en disant que « le gagnant ici est clairement Linux ».

Une étude de Reasoning a montré que l’implémentation par le noyau Linux de la pile de protocoles Internet TCP/IP présentait moins de défauts que les piles équivalentes de plusieurs systèmes d’exploitation propriétaires à usage général, et égalait le meilleur des systèmes d’exploitation intégrés. Comme indiqué dans leur communiqué de presse et dans C|Net, l’étude de Reasoning a comparé six mises en œuvre de TCP/IP, les protocoles fondamentaux qui sous-tendent Internet. Outre le noyau Linux, trois des implémentations faisaient partie de systèmes d’exploitation commerciaux à usage général, et deux étaient intégrées dans des équipements de télécommunications commerciaux. Le noyau Linux est principalement utilisé comme noyau d’un système d’exploitation universel ; il serait raisonnable de s’attendre à ce que les systèmes d’exploitation embarqués soient plus fiables en raison du besoin de fiabilité sur ce marché. L’étude n’a été commandée par aucun des vendeurs ou sociétés GNU/Linux qui pourraient être en concurrence avec GNU/Linux, et devrait donc être exempte de biais.

L’entreprise a utilisé des outils automatisés pour examiner cinq types de défauts dans le code : Fuites de mémoire, déréférences de pointeur nulles, mauvaises délocalisations, accès aux tableaux hors limites et variables non initialisées. Reasoning a trouvé 8 défauts dans 81.852 lignes de code source du noyau Linux (SLOC), résultant en un taux de densité de défauts de 0,1 défaut par KSLOC. En revanche, les trois systèmes d’exploitation propriétaires à usage général (dont deux versions d’Unix) avaient entre 0,6 et 0,7 défaut/KSLOC ; le noyau Linux avait donc un taux de défaut plus faible que tous les systèmes d’exploitation concurrents à usage général examinés. Les taux des deux systèmes d’exploitation embarqués étaient de 0,1 et 0,3 défauts/KSLOC, ainsi, le noyau Linux avait un taux de défauts meilleur qu’un système d’exploitation embarqué, et équivalent à un autre.

L’un des problèmes est que l’outil détecte les problèmes qui peuvent ne pas être de vrais problèmes. Par exemple, sur ces 8 défauts, un était clairement un bogue et avait été détecté et corrigé séparément par les développeurs, et 4 défauts n’avaient clairement aucun effet sur le code courant. Aucune des défectuosités constatées n’était un défaut de sécurité. Pour contrer ce phénomène, ils ont également suivi les problèmes réparés par les développeurs des différents produits. Le noyau Linux s’en est également très bien tiré : le noyau Linux avait 1 défaut réparé sur 81,9 KSLOC, tandis que les implémentations propriétaires avaient 235 défauts réparés sur 568 KSLOC. Cela signifie que le noyau Linux avait un taux de défauts de réparation de 0.013 défauts/KSLOC, alors que les implémentations propriétaires avaient un taux de défauts de réparation de 0.41 défauts/KSLOC.

Le PDG Scott Trappe a expliqué ce résultat en notant que le modèle open source encourage plusieurs comportements qui sont peu communs dans le développement de code commercial. Premièrement, de nombreux utilisateurs ne se contentent pas de signaler les bogues, comme ils le feraient avec les logiciels[propriétaires], mais ils les traquent jusqu’à leurs causes profondes et les résolvent. Deuxièmement, de nombreux développeurs examinent le code des autres, ne serait-ce que parce qu’il est important de comprendre le code avant de pouvoir le modifier ou l’étendre. On sait depuis longtemps que l’examen par les pairs est le moyen le plus efficace de déceler les défauts. Troisièmement, le modèle open source semble encourager une méritocratie, dans laquelle les programmeurs s’organisent autour d’un projet basé sur leurs contributions. Les programmeurs les plus efficaces écrivent le code le plus crucial, passent en revue les contributions des autres, et décident lesquelles de ces contributions seront intégrées dans la prochaine version. Quatrièmement, les projets open source ne sont pas soumis aux mêmes contraintes de ressources et de temps que les projets[propriétaires]. Les projets Open Source sont rarement développés selon un calendrier fixe, ce qui donne plus d’opportunités de révision par les pairs et de tests bêta approfondis avant leur sortie.

Cela ne prouve certainement pas que les FLOSS seront toujours de la plus haute qualité, mais cela montre clairement que les FLOSS peuvent être de haute qualité.

Une étude similaire de Reasoning a montré que la base de données MySQL (une base de données FLOSS de premier plan) avait moins de défauts qu’un ensemble de 200 programmes propriétaires utilisés pour la comparaison. De manière similaire à l’étude précédente, le 15 décembre 2003, Reasoning a annoncé ses résultats d’analyse comparant MySQL avec différents programmes propriétaires. MySQL avait trouvé 21 défauts logiciels dans 236 000 lignes de code source (SLOC), produisant une densité de défauts de 0,09 défaut/KSLOC. En utilisant un ensemble de 200 projets propriétaires récents (totalisant 35 millions de SLOC), les mêmes outils ont trouvé un taux de défauts de 0,57 défaut/KSLOC — plus de six fois le taux d’erreur. Encore une fois, tous les défauts ne sont pas trouvés par leur outil, et cela ne prouve certainement pas que les FLOSS seront toujours de la plus haute qualité, mais cela montre clairement que les FLOSS peuvent être de haute qualité.

Une étude de Coverity a montré que le noyau Linux avait beaucoup moins de défauts que la moyenne de l’industrie. La société d’analyse de code Coverity a effectué un travail de recherche de quatre ans et a constaté que le noyau Linux comportait beaucoup moins de bogues logiciels que la moyenne de l’industrie. L’approche de Coverity a rapporté 985 défauts dans les 5,7 millions de lignes de code qui composent le noyau Linux. Selon les données de l’Université Carnegie Mellon, un programme typique de taille similaire aurait habituellement plus de 5 000 défauts. Le PDG de Coverity, Seth Hallem, a résumé cela en disant : « Linux est un très bon système en termes de densité de bogues ». On ne sait pas comment cela se compare à Microsoft Windows ; Coverity n’avait pas accès au code source du noyau Microsoft Windows. La couverture n’avait pas non plus le code source des nombreux pilotes tiers pour Windows ; il faudrait les inclure pour une comparaison précise, d’autant plus que les problèmes des pilotes Windows sont connus pour être un problème important dans la fiabilité de nombreux déploiements Windows.

La couverture a fait état de résultats plus récents en août 2005, montrant que les densités de défauts étaient très faibles (et qu’elles avaient même diminué davantage). Leur analyse de suivi du noyau Linux 2.6.12 a révélé que les six défauts critiques qu’ils avaient trouvés dans leur étude précédente du noyau Linux 2.6.9 avaient été corrigés. L’étude d’août 2005 a trouvé une moyenne de 0,16 défaut/KSLOC, en baisse par rapport à 0,17 défaut/KSLOC, même si la quantité de code avait augmenté, et  » Bien que les contributeurs aient introduit de nouveaux défauts, ceux-ci étaient principalement dans les pilotes de périphériques non critiques « .

Les sites utilisant le logiciel de serveur web IIS de Microsoft ont en moyenne deux fois plus de temps hors ligne que les sites utilisant le logiciel Apache, selon une évaluation suisse de 3 mois. Ce sont les résultats de l’analyse de Syscontrol AG sur la disponibilité des sites Web (annoncée le 7 février 2000). Ils ont mesuré plus de 100 sites Web suisses populaires sur une période de trois mois, vérifiant à partir de 4 endroits différents toutes les 5 minutes (il serait intéressant de voir ce qu’un échantillon plus grand pourrait trouver !). Vous pouvez voir leur rapport (en allemand), ou une traduction automatique (Babelfish) du rapport. Voici leur ensemble de données publiées sur le « temps d’arrêt moyen (en heures dans ce mois) pour chaque type de serveur », plus une moyenne sur 3 mois que j’ai calculée :

Downtime
Apache
Microsoft
Netscape
Other
September
5.21
10.41
3.85
8.72
October
2.66
8.39
2.80
12.05
November
1.83
14.28
3.39
6.85
Average
3.23
11.03
3.35
9.21

Il est difficile de ne pas remarquer qu’Apache (le serveur web OSS) a eu les meilleurs résultats sur la moyenne trimestrielle (et avec de meilleurs résultats dans le temps également). En effet, le pire mois d’Apache a été meilleur que le meilleur mois de Microsoft. La différence entre Netscape et Apache est statistiquement insignifiante – mais cela montre que la solution FLOSS disponible gratuitement (Apache) a une fiabilité au moins aussi bonne que la solution propriétaire la plus fiable.

Le rapport indique que ce n’est peut-être pas uniquement la faute de la qualité du logiciel, et en particulier que plusieurs sites Microsoft IIS ont connu de courtes interruptions à la même heure chaque jour (ce qui suggère des redémarrages réguliers). Cependant, cela pose toujours la question – pourquoi les sites IIS nécessitent-ils autant de redémarrages réguliers par rapport aux sites Apache ? Toute panne, même planifiée, entraîne une perte de service (et pour les sites de commerce électronique, une perte potentielle de ventes). On peut supposer que les propriétaires de sites SII qui effectuent des redémarrages périodiques le font parce qu’ils croient que cela améliorera la fiabilité globale de leurs systèmes SII. Ainsi, même avec des efforts préventifs pour maintenir la fiabilité des systèmes IIS, les systèmes IIS sont moins fiables que les systèmes basés sur Apache qui ne semblent tout simplement pas nécessiter un redémarrage constant.

80% des dix fournisseurs d’hébergement les plus fiables ont utilisé FLOSS, selon l’enquête de Netcraft de mai 2004 L’enquête de Netcraft de mai 2004 sur les dix fournisseurs d’hébergement les plus fiables a trouvé 4 utilisant GNU/Linux, 4 utilisant FreeBSD, et seulement 2 utilisant Microsoft Windows.

FLOSS a très bien fait dans une étude séparée sur le temps de disponibilité par Netcraft ; au 3 août 2001, sur les 50 sites ayant les temps de disponibilité les plus élevés, 92% utilisent Apache et 50% fonctionnent sur des OS FLOSS. Netcraft garde une trace des 50 sites les plus demandés avec les temps de fonctionnement les plus longs sur http://uptime.netcraft.com. En regardant le rapport du 3 août 2001 sur le temps de disponibilité, j’ai trouvé que 92% (46/50) des sites utilisent Apache ; le serveur web d’un site était inconnu, et trois autres n’étaient pas Apache. Sur ces trois, un seul a déclaré être Microsoft IIS, et qu’une instance est suspecte parce que son système d’exploitation déclaré est BSD/OS (cette incohérence apparente peut s’expliquer de plusieurs façons, par exemple, il existe peut-être un système BSD/OS frontal qui « masque » le site Web IIS, ou peut-être le serveur Web ment sur son type pour semer la confusion chez les pirates). Dans cet instantané, 50% (25/50) fonctionnaient sur un OS FLOSS, et seuls les OS de type Unix avaient ces temps de disponibilité importants (aucun système Windows n’a été signalé comme ayant les meilleurs temps de disponibilité).

Comme pour tous les sondages, celui-ci a des faiblesses, comme discuté dans la FAQ sur le temps de disponibilité de Netcraft. Leurs techniques d’identification des serveurs Web et des systèmes d’exploitation peuvent être trompées. Seuls les systèmes pour lesquels Netcraft a reçu de nombreuses demandes ont été inclus dans l’enquête (ce n’est donc pas « tous les sites du monde »). Tout site qui est demandé par l’intermédiaire du formulaire de recherche  » Qu’est-ce que c’est que le site en cours d’exécution  » sur Netcraft.com est ajouté à l’ensemble des sites qui sont régulièrement échantillonnés ; Netcraft ne surveille pas systématiquement les 22 millions de sites dont il a connaissance pour des raisons de performance. De nombreux systèmes d’exploitation ne fournissent pas d’informations sur le temps de disponibilité et ne peuvent donc pas être inclus, notamment AIX, AS/400, Compaq Tru64, DG/UX, MacOS, NetWare, NT3/Windows 95, NT4/Windows 98, OS/2, OS/390, SCO UNIX, Sony NEWS-OS, SunOS 4, et VM. Ainsi, ce compteur de temps de fonctionnement ne peut inclure que les systèmes fonctionnant sous BSD/OS, FreeBSD (mais pas la configuration par défaut dans les versions 3 et ultérieures), les versions récentes du noyau HP-UX, IRIX, GNU/Linux 2.1 et ultérieures (sauf sur les systèmes à processeur Alpha), MacOS X, les versions récentes de NetBSD/OpenBSD, Solaris 2.6 et suivantes, et Windows 2000. Notez que les systèmes Windows NT ne peuvent pas être inclus dans cette enquête (parce que leurs temps de fonctionnement ne pouvaient pas être comptés). Les données des systèmes Windows 2000 sont incluses dans la source source de cette enquête, mais elles présentent un problème différent. Windows 2000 avait peu d’espoir d’être inclus dans la liste d’août 2001, car le 50e système de la liste avait un temps de disponibilité de 661 jours, et Windows 2000 n’avait été lancé que 17 mois (environ 510 jours) auparavant. Notez que HP-UX, GNU/Linux (habituellement), Solaris et les versions récentes du cycle FreeBSD reviennent à zéro après 497 jours, exactement comme si la machine avait été redémarrée à ce point précis. Il n’est donc pas possible de voir un système HP-UX, GNU/Linux (habituellement), ou Solaris avec un temps de disponibilité supérieur à 497 jours, et en fait leurs temps de disponibilité peuvent être trompeurs (ils peuvent être en fonction pendant longtemps, mais ne pas le montrer). Il y a encore une autre faiblesse : si un ordinateur change de système d’exploitation plus tard, la longue période de disponibilité est créditée au nouvel OS. Néanmoins, cette étude compare Windows 2000, GNU/Linux (jusqu’à 497 jours habituellement), FreeBSD, et plusieurs autres OS, et le FLOSS fonctionne assez bien.

On pourrait faire valoir que les systèmes sur Internet qui n’ont pas été redémarrés depuis si longtemps pourraient être des systèmes insignifiants, à moitié oubliés. Par exemple, il est possible que les correctifs de sécurité ne soient pas appliqués régulièrement, de sorte que ces longues périodes de disponibilité ne sont pas nécessairement de bonnes choses. Cependant, un contre-argument est que les systèmes Unix et Linux n’ont pas besoin d’être redémarrés aussi souvent pour une mise à jour de sécurité, et c’est un attribut précieux pour un système à avoir. Même si vous acceptiez cette affirmation non prouvée, il est certainement vrai qu’il y a aussi des systèmes Windows à moitié oubliés, et ils n’ont pas si bien réussi. De plus, seuls les systèmes sur lesquels quelqu’un a spécifiquement demandé des informations ont été inclus dans l’enquête sur le temps de disponibilité, ce qui limiterait le nombre de systèmes insignifiants ou à moitié oubliés.

A tout le moins, Unix et Linux sont en mesure de démontrer quantitativement des temps de fonctionnement plus longs que leurs concurrents Windows, de sorte qu’Unix et Linux ont une bien meilleure preuve de leur fiabilité que Windows.

Une analyse approfondie (publiée dans les Communications de l’ACM) a montré que la qualité du code FLOSS semble être au moins égale et parfois meilleure que celle des logiciels propriétaires. L’article « Open Source Software Development Should Strive for Even Greater Code Maintainability » de Ioannis Samoladas, Ioannis Stamelos, Lefteris Angelis et Apostolos Oikonomou, a été publié en octobre 2004 par le très respecté « Communications of the ACM » (pp. 83-87). Une variante mineure de ce document a été réimprimée et rendue accessible dans le monde entier dans Programming Languages, Vol. 2, No. 9 – Dec/Jan 2004-2005. Les auteurs ont étudié près de 6 millions de lignes de code, suivant plusieurs programmes dans le temps, en utilisant l’indice de maintenabilité (choisi par le Software Engineering Institute comme l’outil le plus approprié pour mesurer la maintenabilité des systèmes). En utilisant leurs mesures, ils ont conclu que la qualité du code FLOSS « semble être au moins égale et parfois meilleure que la qualité du code[logiciel source fermé] mettant en œuvre la même fonctionnalité ». Ils ont émis l’hypothèse que cela « peut être dû à la motivation de programmeurs OSS compétents… ». Le FLOSS n’est pas une panacée ; ils ont également constaté que la « qualité du code FLOSS » semble souffrir des mêmes problèmes que ceux qui ont été observés dans les projets[logiciels fermés]. La détérioration de la maintenabilité au fil du temps est un phénomène typique… il est raisonnable de s’attendre à un comportement similaire de la part des projets OSS à mesure qu’ils vieillissent. » Il est clair que le FLOSS n’est pas une solution miracle ; les développeurs de programmes FLOSS doivent travailler pour maintenir leurs programmes maintenables, et il est difficile de maintenir un programme maintenable à mesure qu’il grandit avec le temps. On a constaté que les logiciels libres avaient une maintenabilité égale et parfois meilleure que les programmes propriétaires, et c’est un résultat très encourageant.

Une étude détaillée de deux grands programmes (le noyau Linux et le navigateur Web Mozilla) a montré que les processus de développement FLOSS produisent des conceptions plus modulaires. Harvard Business School’s « Exploring the Structure of Complex Software Designs : An Empirical Study of Open Source and Proprietary Code  » par Alan MacCormack, John Rusnak et Carliss Baldwin (document de travail numéro 05-016) présente les résultats de recherches qui ont permis de voir si les programmes FLOSS avaient tendance à être plus modulaires que les programmes propriétaires. Il est généralement admis qu’une plus grande modularité présente d’importants avantages, en particulier qu’un système plus modulaire a tendance à être plus fiable et plus facile à changer avec le temps.

Ils ont examiné le noyau Linux (développé en tant que produit FLOSS), le navigateur web Mozilla original (développé en tant que produit propriétaire), puis l’évolution de Mozilla après qu’il soit devenu FLOSS. Ils ont trouvé « des différences significatives dans leurs conceptions » ; Linux possédait une architecture plus modulaire que le Mozilla propriétaire original, et le FLOSS Mozilla redessiné avait une structure plus modulaire que les deux.

Pour mesurer la modularité de la conception, ils ont utilisé une technique appelée Design Structure Matrices (DSMs) qui identifiait les dépendances entre les différents éléments de conception (dans ce cas, entre les fichiers, où appeler une fonction/méthode d’un autre fichier crée une dépendance). Ils ont utilisé deux mesures différentes à l’aide des MAD, qui ont produit des résultats concordants.

La première mesure qu’ils ont calculée est une mesure simple, appelée « coût du changement ». Il mesure le pourcentage d’éléments affectés, en moyenne, lorsqu’une modification est apportée à un élément du système. Une valeur plus petite est préférable, car à mesure que cette valeur augmente, il est de plus en plus probable qu’un changement apporté aura un impact sur un plus grand nombre d’autres composantes et aura des conséquences non intentionnelles. Cette mesure n’est pas si sensible à la taille d’un système (voir la pièce 7), bien qu’il soit évident qu’à mesure qu’un programme prend de l’ampleur, ce pourcentage implique un plus grand nombre de composantes. Quand Mozilla a été développé en tant que produit propriétaire, et initialement publié en tant que FLOSS, il avait la grande valeur de 17,35%. Cela signifie que si un fichier donné est modifié, en moyenne, 17,35% des autres fichiers du système dépendent (directement ou indirectement) de ce fichier. Après s’être familiarisés avec le code, les développeurs FLOSS ont décidé d’améliorer sa conception entre 1998-10-08 et 1998-12-11. Une fois la refonte terminée, le coût du changement a considérablement diminué, passant à 2,78 %, comme vous pouvez le constater :

 

Program Change Cost
Mozilla-1998-04-08 17.35%
Mozilla-1998-10-08 18.00%
Mozilla-1998-12-11 2.78%
Mozilla-1999 3.80%
Linux-2.1.88 3.72%
Linux-2.1.105 5.16%

Le coût du changement est une mesure assez grossière, cependant ; il ne tient pas compte du degré de dépendance (mesuré, par exemple, comme le nombre d’appels d’un fichier à un autre), et il ne tient pas compte du regroupement (une bonne conception devrait minimiser la communication entre les groupes plus que la communication en général). Ils ont donc calculé le  » coût de coordination « , c’est-à-dire le coût estimatif de la communication de l’information entre les agents qui développent chaque grappe. Cette mesure dépend fortement de la taille du système – après tout, il est plus facile de coordonner de petits projets. Ainsi, pour mesurer la qualité d’un design par rapport à un autre projet, les tailles doivent être similaires (dans ce cas, par le nombre de fichiers). Les chiffres ne sont pas unitaires, mais des coûts moindres sont préférables. Les chercheurs ont identifié des circonstances différentes avec des tailles similaires, de sorte que les chiffres puissent être comparés. Le tableau suivant compare Mozilla 1998-04-08 (construit presque entièrement par des moyens propriétaires) et Mozilla 1998-12-11 (juste après la refonte par les développeurs FLOSS) avec Linux 2.1.105 (construit par les processus FLOSS) :

Linux 2.1.105 Mozilla 1998-04-08 Mozilla 1998-12-11
Number of Source files 1678 1684 1508
Coordination Cost 20,918,992 30,537,703 10,234,903

L’article calcule des nombres pour plusieurs autres cas, mais aboutit à la même conclusion.

Il serait facile d’argumenter que les noyaux sont fondamentalement différents des navigateurs web, mais cela ne peut pas être la bonne explication. Quand Mozilla a été mis à la disposition de la communauté FLOSS, c’était bien pire par ces mesures, et la communauté FLOSS a travaillé activement et consciemment pour améliorer sa modularité. Le navigateur s’est rapidement retrouvé avec une amélioration significative et mesurable de la modularité, meilleure que celle du noyau, sans perte évidente de fonctionnalité.

Il semble qu’au moins une partie de l’explication se trouve dans l’environnement de développement FLOSS. Le développement de FLOSS est normalement distribué dans le monde entier, avec peu de possibilités de communication en face à face, et avec de nombreuses personnes qui ne contribuent qu’à temps partiel. Ainsi,  » ce mode d’organisation n’était possible que dans la mesure où la structure de conception, et en particulier le cloisonnement des tâches de conception, n’était pas bien articulé « . De plus, la direction d’un projet FLOSS est incitée à prendre des décisions architecturales qui conduisent à la modularité, car si elle ne le faisait pas, elle ne serait pas capable d’attirer suffisamment de co-développeurs : « Sans une telle architecture, il y avait peu d’espoir que d’autres contributeurs puissent a) comprendre suffisamment la conception pour contribuer de manière significative, et b) développer de nouvelles caractéristiques ou corriger les défauts existants sans affecter de nombreuses autres parties de la conception. Bien qu’elles ne soient pas abordées dans le présent document, les normes culturelles peuvent également être un facteur ; puisque le code source est examiné par d’autres, les développeurs semblent dénigrer activement les conceptions médiocres et louer les conceptions très modulaires.

Encore une fois, cela ne signifie pas que les programmes FLOSS sont toujours plus modulaires ; mais cela suggère qu’il y a une pression pour faire des programmes modulaires dans un projet FLOSS.

L’importateur allemand Heinz Tröber a trouvé que les postes de travail basés sur Linux étaient beaucoup plus fiables que les postes de travail Windows ; Windows avait un taux d’échec quotidien de 15%, tandis que Linux a 0%. Günter Stoverock, responsable du traitement des données de la société d’importation allemande Heinz Tröber, a indiqué qu’elle avait décidé d’exécuter son logiciel ERP sur des systèmes Linux, au lieu de Windows, car Windows était beaucoup moins fiable. Stoverock a déclaré que sous Windows, « sur 65 ordinateurs de bureau, environ 10 ordinateurs de bureau tombaient en panne chaque jour…. Les employés ont perdu environ 30 minutes, soit 5 fois 30 minutes par semaine. » Notez qu’il s’agit d’un taux d’échec quotidien de 15 % et que les impacts réels étaient presque certainement plus graves qu’une simple perte de 2 minutes de temps perdu par redémarrage. Après tout, ce calcul généreux ne tient pas compte du coût du temps perdu en raison de la perte de données (nécessitant une réentrée), du temps nécessaire pour recommencer toute action qu’ils ont entreprise et du temps dont disposent les gens pour se concentrer à nouveau sur ce qu’ils font. Stoverock a ensuite déclaré : « Ce n’est pas acceptable – nous devions faire quelque chose[pour résoudre ce problème] ». L’entreprise est passée aux systèmes de bureau Linux en 2001 et n’a connu aucun temps d’arrêt depuis (jusqu’en mars 2005). Il a dit : « Il n’y a pas de problème, le matin vous allumez l’ordinateur, l’après-midi vous l’éteignez, c’est tout. » Je ne dispose pas d’informations plus détaillées que celles-ci sur leur environnement et leurs résultats particuliers, ce qui constitue une limitation importante de ce rapport. D’autre part, je n’ai trouvé aucune preuve qu’ils ont une quelconque raison de préférer l’une ou l’autre plate-forme, et il semble que la fonctionnalité et l’utilisation étaient les mêmes sur les deux plates-formes, ce qui suggère que cette comparaison est valable.

Damien Challet et Yann Le Du de l’Université d’Oxford ont écrit un article intitulé Closed source versus open source in a model of software bug dynamics. Dans cet article, ils développent un modèle de la dynamique des bogues logiciels où les utilisateurs, les programmeurs et les responsables de la maintenance interagissent à travers un programme donné. Ils ont ensuite analysé le modèle, et ont constaté que toutes choses étant égales par ailleurs (comme le nombre d’utilisateurs, de programmeurs et la qualité des programmeurs),  » le débogage dans les projets open source est toujours plus rapide que dans les projets fermés « .

Bien sûr, il y a beaucoup d’anecdotes sur la fiabilité de Windows par rapport à Unix. Par exemple, le programme « Smart Ship » de la Marine a causé un échec complet du navire USS Yorktown en septembre 1997. Le dénonciateur Anthony DiGiorgio a déclaré que Windows est « la source des problèmes informatiques de Yorktown ». Ron Redman, directeur technique adjoint de la Division de l’introduction de la flotte du bureau exécutif du programme Aegis, a déclaré :  » Il y a eu de nombreuses pannes de logiciels associées à[Windows] NT à bord du Yorktown. Redman a également dit : « A cause de la politique, certaines choses nous sont imposées que sans pression politique, nous ne pourrions pas faire, comme Windows NT… Si cela dépendait de moi, je n’aurais probablement pas utilisé Windows NT dans cette application particulière. Si nous utilisions Unix, nous aurions un système qui a moins tendance à descendre. »

La fiabilité est de plus en plus importante dans le domaine des logiciels. ABI Research 2004 étude « Automotive Electronics Systems : Les exigences du marché pour les microcontrôleurs, les accéléromètres, les capteurs à effet Hall et les capteurs de pression ont révélé qu’environ 30 % de tous les problèmes de garantie automobile actuels sont liés aux logiciels et au silicium.

L’un des problèmes des mesures de fiabilité est qu’il faut beaucoup de temps pour recueillir des données sur la fiabilité dans des circonstances réelles. Ainsi, il y a plus de données comparant les anciennes éditions de Windows aux anciennes éditions de GNU/Linux. La clé, c’est que ces comparaisons sont justes, parce qu’elles comparent des produits contemporains. Les données disponibles suggèrent que le FLOSS présente un avantage significatif en termes de fiabilité, du moins dans de nombreuses circonstances.

4. Performance

Comparer les performances de GNU/Linux et de Microsoft Windows sur un matériel équivalent a un historique de réclamations litigieuses et de résultats différents basés sur des hypothèses différentes. FLOSS a au moins montré qu’il est souvent compétitif, et dans de nombreuses circonstances il bat la concurrence.

Les benchmarks de performance sont très sensibles aux hypothèses et à l’environnement, de sorte que le meilleur benchmark est celui que vous établissez vous-même pour modéliser votre environnement cible. Faute de quoi, vous devriez utiliser des mesures impartiales, car il est si facile de créer des mesures biaisées.

Tout d’abord, voici quelques études récentes suggérant que certains systèmes FLOSS battent leurs concurrents propriétaires dans au moins certaines circonstances :

Linux a bien fait dans les mesures de base de données TPC. En 2002, les mesures de la base de données du PTC-C ont révélé qu’un système basé sur Linux était plus rapide qu’un système basé sur Windows 2000. En 2008, RHEL 5 s’est extrêmement bien comporté. Plus précisément, en 2002, un HP ProLiant DL580 avec 32 processeurs Intel Xeon 900MHz fonctionnant sous Oracle 9i R2 Enterprise Edition a fonctionné plus rapidement sur un serveur Red Hat Linux Advanced Server que sur Microsoft Windows 2000 Advanced Server. Vous pouvez voir les rapports Linux et Windows ; notez que HP n’a pas modifié le noyau Linux pour obtenir ces résultats.

En 2008, lors d’un récent test indépendant, Red Hat Enterprise Linux (RHEL) 5 Advanced Platform a fait mieux que tous les autres systèmes d’exploitation qui pouvaient traiter plus d’un million de transactions par minute, et à un coût inférieur de 22 % à celui de son concurrent le plus proche. Le Transaction Processing Performance Council (TPC) a validé le traitement par Red Hat de 1,2 million de transactions par minute sur un système IBM x 3950M2 avec le processeur Intel X7460 Xeon. Les coûts totaux du matériel et des logiciels IBM/Red Hat étaient de 1,99 $ par transaction, soit 22 % de moins que la combinaison de matériel et de logiciels moins coûteuse suivante (IBM/AIX à 2,81 $ par transaction). Aucun système basé sur Windows ne fonctionne aussi bien, et les systèmes Unix avec des performances plus rapides coûtent au moins 50% plus cher.

Les tests de performance de PC Magazine de novembre 2001 pour les serveurs de fichiers ont montré que Linux avec Samba surpassait largement Windows 2000. Leur article Performance Tests : Le débit et les temps de réponse du serveur de fichiers ont montré que Linux avec Samba surpassait largement Windows 2000 Server lorsqu’il était utilisé comme serveur de fichiers pour les propres protocoles de fichiers du réseau de Microsoft. Ceci était vrai quel que soit le nombre de clients simultanés (ils ont testé une gamme jusqu’à 30 clients), et c’était vrai sur toute la gamme sur les ordinateurs qu’ils utilisaient (Pentium II/233MHz avec 128MiB RAM, Pentium III/550MHz avec 256MiB RAM, et Pentium III/1GHz avec 512MiB RAM, où MiB est 2^20 bytes). En effet, à mesure que les machines devenaient plus performantes, la différence absolue devenait de plus en plus prononcée. Sur le matériel le plus rapide tout en traitant le plus grand nombre de clients, le débit de GNU/Linux était d’environ 130 Mo/sec contre 78 Mo/sec pour Windows (GNU/Linux était 78% plus rapide).

PC Magazine a de nouveau testé les performances des serveurs de fichiers en avril 2002 ; Linux avec Samba a battu Windows 2000 à nouveau, mais Samba a alors dépassé Windows 2000 d’environ 100% et peut gérer 4 fois plus de clients. PC Magazine a publié une autre comparaison de Samba et Windows (un résumé est disponible électroniquement sous la forme « Samba runs rings around Win2000. »). Ils ont noté que le logiciel Samba plus tard surpasse les performances de Windows 2000 d’environ 100 pour cent dans les tests de référence, et a constaté que Linux et Samba peut gérer quatre fois plus de systèmes clients que Windows 2000 avant que les performances commencent à baisser. Jay White, directeur informatique de la société d’électronique BF Group, a déclaré que Samba est l’un des logiciels serveurs les plus utiles disponibles pour un environnement mixte Windows et Linux. « Notre serveur Samba est en ligne depuis 394 jours. Le coût total est le matériel plus 30 minutes de mon temps chaque année « , dit-il. Mark Twells, coordinateur informatique d’un grand établissement d’enseignement, a déclaré : « Nous utilisons six serveurs Samba sur une variété de matériel[et] nous avons environ 1 000 utilisateurs », ce qui est certainement une excellente preuve de l’utilité de Samba.

Dans les tests de performance du magazine Sys Admin, GNU/Linux a battu Solaris (sur Intel), Windows 2000, et FreeBSD. L’article « Which OS is Fastest for High-Performance Network Applications », paru dans l’édition de juillet 2001 du magazine Sys Admin, examine les architectures hautes performances et constate que GNU/Linux bat ses concurrents par rapport à Solaris (sur Intel), FreeBSD (un système FLOSS), et Windows 2000. Ils ont intentionnellement fait fonctionner les systèmes  » hors de la boîte  » (non accordés), sauf pour augmenter le nombre de connexions TCP/IP simultanées (ce qui est nécessaire pour tester les applications multi-threaded et asynchrones). Ils ont utilisé les dernières versions d’OS et exactement la même machine. Ils ont présenté (par système d’exploitation) les résultats de deux tests de performance différents.

Les développeurs FreeBSD se sont plaints de ces tests, notant que FreeBSD par défaut met l’accent sur la fiabilité (et non sur la vitesse) et qu’ils s’attendaient à ce que toute personne ayant un besoin de performance important fasse d’abord quelques réglages. Ainsi, Sys Admin a refait les tests pour FreeBSD après avoir réglé FreeBSD. Un changement qu’ils ont fait était de passer à un montage « asynchrone », ce qui rend un système plus rapide (bien qu’il augmente le risque de perte de données en cas de panne de courant) – c’est le défaut GNU/Linux et facile à changer sous FreeBSD, donc c’était une modification très petite et raisonnable. Cependant, ils ont aussi fait beaucoup d’autres changements, par exemple, ils ont trouvé et compilé dans 17 correctifs du noyau FreeBSD et ont utilisé diverses commandes de réglage. Les autres OS n’ont pas eu la chance de « s’accorder » comme ça, donc comparer des OS non accordés à un système FreeBSD accordé n’est pas vraiment juste.

En tout cas, voici leurs deux tests de performance :

Leur test  » réel  » a mesuré la rapidité avec laquelle de grandes quantités de courriels pouvaient être envoyées à l’aide de leur serveur de livraison de courriel (MailEngine). Jusqu’à 100 envois simultanés, il n’y avait aucune différence, mais à mesure que le nombre augmentait, les systèmes ont commencé à montrer des différences significatives dans leur vitesse horaire de livraison par courriel. Avec 500 envois simultanés, GNU/Linux était nettement plus rapide que tous les autres à l’exception de FreeBSD, et GNU/Linux est resté en tête. Les performances de FreeBSD-tuned étaient similaires à celles de GNU/Linux avec 1000 envois simultanés ou moins, mais FreeBSD-tuned a culminé autour de 1000-1500 connexions simultanées avec un déclin constant non subi par GNU/Linux, et FreeBSD-tuned a eu des problèmes pour dépasser 3000 connexions simultanées. En 1500 envois simultanés, GNU/Linux envoyait 1,3 million d’emails par heure, tandis que Solaris en gérait environ 1 million, et Windows 2000 et FreeBSD non accordés étaient environ 0,9 million.
Leur « test d’E/S disque » a créé, écrit et relu 10 000 fichiers de taille identique dans un même répertoire, en variant la taille des instances du fichier. Ici Solaris était le plus lent, avec FreeBSD-untuned le deuxième plus lent. FreeBSD-tuned, Windows 2000 et GNU/Linux avaient des vitesses similaires avec des tailles de fichiers plus petites (dans certains cas, FreeBSD-tuned était plus rapide, par exemple 8k et 16k), mais quand les tailles de fichiers ont atteint 64k à 128k, les OS ont commencé à montrer des différences significatives ; GNU/Linux était le plus rapide, puis Windows 2000, puis FreeBSD. A 128k, FreeBSD était 16% pire que Windows 2000, et 39% pire que GNU/Linux ; tous étaient plus rapides que FreeBSD non accordé et Solaris. En additionnant ces temps entre les tailles de fichiers, les résultats étaient GNU/Linux : 542 secondes, Windows 2000 : 613 secondes, FreeBSD-tuned : 630 secondes, FreeBSD-tuned : 2398 secondes, et Solaris : 3990 secondes.

GNU/Linux avec TUX a produit de meilleures valeurs SPEC que Windows / IIS dans plusieurs cas, même avec des configurations de disques inférieures. L’une des organisations qui s’efforce d’élaborer des repères impartiaux est le Consortium SPEC, qui élabore et tient à jour toute une série de repères. Nous pouvons comparer Microsoft Windows par rapport à GNU/Linux en comparant les résultats de SPECweb99 (qui mesure la performance des serveurs Web) sur du matériel identique si les deux ont subi le même effort d’optimisation des performances. Hélas, les choses ne sont pas si simples ; les mêmes plates-formes matérielles de base sont rarement testées avec les deux systèmes d’exploitation, et même lorsque cela se produit, depuis le 13 juillet 2001, aucune configuration exactement identique n’a été testée (elles diffèrent par exemple en utilisant un nombre différent de disques durs, ou en incluant certains disques durs plus rapides). En utilisant tous les résultats disponibles au 13 juillet 2001, il y avait trois configurations matérielles, toutes de Dell, qui utilisaient GNU/Linux (utilisant le serveur web/accélérateur TUX) et Windows (utilisant IIS) sur exactement le même matériel sous-jacent. Voici les résultats de SPECweb99 au 13 juillet 2001 (plus c’est gros, mieux c’est), avec les différences de configuration :

 

System Windows SPEC Result Linux SPEC Result
Dell PowerEdge 4400/800, 2 800MHz Pentium III Xeon 1060 (IIS 5.0, 1 network controller) 2200 (TUX 1.0, 2 network controllers)
Dell PowerEdge 6400/700, 4 700MHz Pentium III Xeon 1598 (IIS 5.0, 7 9GB 10KRPM drives) 4200 (TUX 1.0, 5 9GB 10KRPM drives)
Dell PowerEdge 8450/700, 8 700MHz Pentium III Xeon 7300/NC (IIS 5.0, 1 9Gb 10KRPM and 8 16Gb 15KRPM drives) then 8001 (IIS 5.0, 7 9Gb 10KRPM and 1 18Gb 15KRPM drive) 7500 (TUX 2.0, 5 9Gb 10KRPM drives)

La première rangée (le PowerEdge 4400/800) ne prouve rien. Le système IIS est moins performant, mais il n’avait qu’un seul contrôleur réseau et le système TUX en a deux – alors que le système TUX était plus performant, cela pourrait simplement être parce qu’il avait deux connexions réseau qu’il pouvait utiliser.

La deuxième entrée (PowerEdge 6400/700) suggère certainement que GNU/Linux plus TUX est vraiment bien meilleur – le système IIS disposait de deux disques supplémentaires (ce qui devrait augmenter les performances), mais le système TUX avait plus du double des performances du système IIS.

La dernière entrée pour le PowerEdge 8450/700 est encore plus complexe. Premièrement, les variateurs sont différents – les systèmes IIS avaient au moins un variateur qui tournait plus vite que les systèmes TUX (ce qui devrait donner à IIS des performances globales plus élevées, puisque la vitesse de transfert est presque certainement plus élevée). En outre, il y avait plus de lecteurs de disques (ce qui devrait encore une fois donner à IIS des performances encore plus élevées). Lorsque j’ai initialement assemblé ce tableau montrant toutes les données accessibles au public en avril 2001 (couvrant le troisième trimestre de 1999 jusqu’au premier trimestre de 2001), IIS 5.0 (sur un Dell PowerEdge 8450/700 8 processeurs) avait une valeur SPECweb99 de 7300. Depuis, Microsoft a changé la disponibilité de Microsoft SWC 3.0, et selon les règles de SPECweb99, cela signifie que ces résultats de test ne sont « pas conformes » (NC). C’est subtil ; ce n’est pas que le test lui-même était invalide, c’est que Microsoft a changé ce qui était disponible et a utilisé les propres règles du Consortium SPEC pour invalider un test (peut-être parce que les résultats du test étaient indésirables pour Microsoft). Un nouveau test s’est alors produit, avec encore une autre configuration de lecteur de disque, à ce point IIS a produit une valeur de 8001. Cependant, ces deux chiffres sont sur du matériel nettement meilleur – et dans un cas, le meilleur matériel n’a pas donné de meilleurs résultats.

Ainsi, dans ces configurations, le système GNU/Linux plus TUX était doté d’un matériel de qualité inférieure, mais il gagnait encore parfois en performance. Comme d’autres facteurs peuvent être impliqués, il est difficile d’en juger – il y a des situations pathologiques où un « meilleur matériel » peut avoir de moins bonnes performances, ou il peut y avoir un autre facteur non signalé qui a eu un effet plus significatif. Nous espérons qu’à l’avenir, il y aura de nombreux tests en tête-à-tête dans une variété de configurations identiques.

Notez que TUX est destiné à être utilisé comme un « accélérateur web » dans de nombreuses circonstances, où il traite rapidement des requêtes simples et passe ensuite des requêtes plus complexes à un autre serveur (généralement Apache). J’ai cité les chiffres de TUX parce que ce sont les chiffres de performance récents dont je dispose. Pour l’instant, je n’ai pas de chiffres SPECweb99 ou d’autres mesures de performance récentes pour Apache sous GNU/Linux, ou pour Apache et TUX ensemble ; je n’ai pas non plus de chiffres de fiabilité TUX. Je m’attends à ce que de telles mesures apparaissent à l’avenir.

Les benchmarks de bas niveau d’IBM ont montré que GNU/Linux avait de meilleures performances que Windows pour les pipes (un mécanisme d’entrée/sortie), ainsi que pour la création de processus et de threads. Ed Bradford (directeur de Microsoft Premier Support for IBM Software group) a publié en octobre 2001 l’étude Pipes in Linux, Windows 2000 et Windows XP. Dans cette étude, il a examiné le rendement des canalisations, un mécanisme commun de communication de bas niveau entre les processus du programme. Il a trouvé que les tuyaux de Red Hat 7.1 (avec la version 2.4.2 du noyau Linux) avaient un taux d’E/S de pointe d’environ 700 Mo/sec, avec un état stable à près de 100 Mo/sec pour de très gros blocs. En revanche, Windows 2000 a culminé à 500 Mo/sec, avec un grand bloc de 80 Mo/sec en régime permanent. Windows XP Professional (version d’évaluation) a été particulièrement décevant ; son taux d’E/S de pointe n’était que de 120 Mo/sec, avec un état stable de 80 Mo/sec, le tout sur la même plate-forme et avec une interface graphique.

En février 2002, il a publié Managing processes and threads, dans lequel il a comparé les performances de Red Hat Linux 7.2, Windows 2000 Advanced Server (« Win2K ») et Windows XP Professional (« WinXP »), le tout sur un Thinkpad 600X avec 320MiB de mémoire. Linux a réussi à créer plus de 10 000 threads par seconde, tandis que Win2K n’a pas réussi à gérer 5 000 threads par seconde et WinXP n’a créé que 6 000 threads par seconde. Dans la création de processus, Linux a géré 330 processus/seconde, tandis que Win2K a géré moins de 200 processus/seconde et WinXP moins de 160 processus/seconde.

eWeek a constaté dans ses tests que le programme FLOSS MySQL était tout à fait comparable au programme propriétaire de base de données Oracle, et que la paire surpassait les autres programmes propriétaires. eWeek Labs / PC Labs a comparé plusieurs bases de données et a publié les résultats le 25 février 2002. Les mesures comparables du rendement des programmes de bases de données sont en fait assez rares. Comme ils le font remarquer,  » les fournisseurs de bases de données utilisent couramment des clauses de non-analyse comparative dans leurs contrats de licence pour bloquer la publication de repères qu’ils n’approuvent pas « . En effet, à leur connaissance, c’est la première fois qu’une publication informatique publie des résultats de benchmark de bases de données testés sur le même matériel depuis que PC Magazine l’a fait en octobre 1993 (presque 9 ans auparavant). Cependant, ils ont pris le risque et ont publié les résultats en examinant cinq bases de données de serveurs : IBM DB2 7.2 avec FixPack 5, Microsoft Corp. SQL Server 2000 Enterprise Edition avec Service Pack 2, MySQL AB MySQL 4.0.1 Max, Oracle Corp. Oracle9i Enterprise Edition 9.0.1.1.1 et ASE (Adaptive Server Enterprise) de Sybase Inc. 12.5.0.1. Leur but était de créer des règles du jeu équitables afin de déterminer quelle base de données donne les meilleurs résultats lorsqu’elle est utilisée avec un serveur d’application Java.

Les résultats ? Ils ont trouvé que Oracle9i et MySQL avaient les meilleures performances et évolutivité ; Oracle9i était légèrement en avance sur MySQL dans la plupart des cas, mais Oracle coûte beaucoup plus cher. « ASE, DB2, Oracle9i et MySQL ont terminé dans une chaleur morte jusqu’à environ 550 utilisateurs Web. A ce stade, les performances de l’ASE se sont stabilisées à 500 pages par seconde, soit environ 100 pages par seconde de moins que celles d’Oracle9i et de MySQL (environ 600 pages par seconde). Les performances du DB2 ont chuté considérablement, se stabilisant à 200 pages par seconde sous des charges élevées. En raison de ses importants problèmes de pilotes JDBC (Java Database Connectivity), le serveur SQL de Microsoft a été limité à environ 200 pages par seconde pour l’ensemble du test. »

Naturellement, « le réglage manuel fait une énorme différence avec les bases de données – en général, notre débit final mesuré a été deux fois plus rapide que nos premiers tests prêts à l’emploi. Dans ce cas, ils ont trouvé que « SQL Server et MySQL étaient les plus faciles à régler, et Oracle9i était le plus difficile parce qu’il y a tellement de caches de mémoire séparées qui peuvent être ajustées ».

MySQL a également fait preuve d’une innovation significative. Sa performance s’explique principalement par son « cache de requêtes », une capacité qui n’est incluse dans aucune autre base de données. Si le texte d’une requête correspond à un octet pour un octet avec une requête mise en cache, MySQL peut récupérer les résultats directement à partir de son cache sans compiler la requête, obtenir des verrous ou faire des accès index. Évidemment, cette technique n’est efficace que pour les tables avec peu de mises à jour, mais elle a certainement eu un impact sur ce benchmark et est une optimisation utile pour de nombreuses situations. MySQL prend également en charge différents moteurs de bases de données table par table ; aucune autre base de données testée ne possède cette fonctionnalité.

Ils ont également constaté que sur les cinq bases de données qu’ils ont testées, seuls Oracle9i et MySQL étaient capables d’exécuter leur application de test telle qu’initialement écrite pendant 8 heures sans problème. Ils ont dû contourner divers problèmes pour tous les autres.

Dans ce cas, un programme FLOSS a battu la plupart de ses concurrents propriétaires en termes de performances et de fiabilité (en termes de capacité à exécuter une application correctement écrite sans problèmes). Un programme propriétaire (Oracle) l’a battu, mais à peine, et son concurrent est beaucoup plus cher. On peut certainement soutenir que MySQL est (pour cette application) une application comparable digne d’intérêt.

MySQL AB rapporte également d’autres résultats de benchmark comparant MySQL avec d’autres produits ; cependant, comme il ne s’agit pas d’un laboratoire indépendant, je ne souligne pas leurs résultats ici.

En février 2003, les scientifiques ont battu le record de vitesse Internet2 Land Speed Record en utilisant GNU/Linux. Les scientifiques ont envoyé 6,7 Go de données non compressées à 923 mégabits par seconde en seulement 58 secondes de Sunnyvale, en Californie, à Amsterdam – l’équivalent de quatre heures de films de qualité DVD, utilisant une vitesse de transfert 3 500 fois plus rapide qu’une connexion haut débit domestique typique. L’équipe a utilisé des PC fonctionnant sous Debian GNU/Linux à Amsterdam et Red Hat Linux à Sunnyvale, en Californie.

Des comparaisons entre Sun Solaris x86 et GNU/Linux ont révélé de nombreuses similitudes, mais GNU/Linux a doublé ses performances dans les opérations Web. L’évaluation de Tony Bourke d’octobre 2003, Sun contre Linux : Le x86 Smack-down a donné un aperçu général comparant Sun Solaris x86 et Red Hat Linux. Il a trouvé que « les performances étaient globalement similaires pour la plupart des métriques testées, peut-être avec Linux en très légère avance. Cependant, avec le test des opérations web (sans doute le plus important et le plus pertinent), Linux est clairement gagnant. » Il a trouvé que, avec les mêmes programmes et la même configuration de serveur web, GNU/Linux supportait plus de 2000 fetches/seconde alors que Solaris x86 supportait moins de 1000 fetches/seconde.

La comparaison d’Anandtech d’août 2005 entre Mac OS X et GNU/Linux a révélé que le système basé sur Linux fonctionnait cinq à huit fois plus vite sur les tâches du serveur (en utilisant spécifiquement MySQL). Anandtech a utilisé Linux sur un système légèrement plus lent, et Mac OS X sur un système légèrement plus rapide. Avec beaucoup d’efforts, ils ont montré que les mauvaises performances qu’ils avaient vues plus tôt sous Mac OS X n’étaient pas dues au matériel, mais au système d’exploitation lui-même, parce que changer les systèmes d’exploitation sur essentiellement le même matériel produisait des résultats de performances radicalement différents. En particulier, ils ont trouvé que Linux créait des processus et des threads, augmentait les signaux et effectuait d’autres communications interprocessus beaucoup plus rapidement que Mac OS X. Notez que de nombreux systèmes Linux sont exclusivement FLOSS, tandis que Mac OS X d’Apple est un mélange de propriétaires et de FLOSS (le résultat est très propriétaire).

Microsoft lui-même a trouvé que deux systèmes d’exploitation FLOSS, Linux et FreeBSD, avaient de meilleures performances que Windows à bien des égards. L’article de Paul Murphy du 8 novembre 2005, « ‘Unix bat Windows’ – dit Microsoft ! a souligné un rapport de Microsoft Research sur leurs recherches sur leur prototype de recherche « Singularity ». Le rapport compare leur prototype de recherche à Windows, Linux, et FreeBSD… exposant des chiffres de performance qui comparent ces systèmes d’exploitation directement les uns aux autres. Murphy écrit :  » Ce qui est remarquable, c’est que Microsoft a comparé Singularity à FreeBSD et Linux ainsi qu’à Windows/XP – et presque tous les résultats montrent que Windows a perdu contre les deux variantes Unix « . Et là où ils n’ont pas fait aussi bien, Murphy détermine que c’est parce qu' »il y a de meilleures façons, plus rapides, de faire ces choses sous Unix, mais ces gars… ne savaient pas ou s’en moquaient. » Ces chiffres ne prouvent certainement pas qu’un système en particulier est toujours le plus performant, mais cela justifie certainement que l’on y pense.

Tous les systèmes d’exploitation en développement actif sont dans une bataille constante pour l’amélioration de leurs performances par rapport à leurs concurrents. L’historique de la comparaison entre Windows et GNU/Linux aide à mettre cela en perspective :

Ziff-Davis a trouvé que GNU/Linux avec Apache battait Windows NT 4.0 avec IIS de 16%-50% selon la distribution GNU/Linux. Ziff-Davis a comparé les performances de Linux et de Windows NT en matière de serveur Web. Ils ont trouvé que « Linux avec Apache bat NT 4.0 avec IIS, haut la main. SuSE, le Linux le moins efficace, est 16% plus rapide que IIS, et Caldera, le leader, est 50% plus rapide. »

Mindcraft a publié un rapport en avril 1999 selon lequel Microsoft Windows NT Server 4.0 est 2,5 fois plus rapide que Linux (noyau 2.2) en tant que serveur de fichiers et 3,7 fois plus rapide en tant que serveur Web sur un système SMP 4 CPU. Plusieurs personnes et organisations, telles que Linux Weekly News (LWN) et Dan Kegel, ont identifié de sérieux problèmes avec cette étude. Un problème évident était que NT a été spécialement réglé par les experts NT de Microsoft, chez Microsoft, alors que GNU/Linux n’a pas été réglé du tout. Un autre problème est que le rapport prix/performance n’a pas été pris en compte (et les dépenses totales n’ont pas été maintenues constantes – pour le même montant d’argent, le système GNU/Linux aurait pu avoir un meilleur matériel). Mindcraft a prétendu avoir demandé de l’aide, mais elle n’a pas utilisé les méthodes documentées pour obtenir de l’aide et n’a pas acheté de contrat de soutien. Beaucoup ont été particulièrement offensés par le fait que même si cette étude a été financée par Microsoft (l’un des participants) et s’est tenue dans leurs locaux, ni l’annonce initiale de Mindcraft ni son article n’ont fait mention de ce conflit d’intérêts – et l’on pourrait facilement affirmer que leur configuration était conçue pour désavantager GNU/Linux. Leur configuration était quelque peu bizarre – elle supposait que toutes les pages Web étaient statiques (les grands sites typiques ont tendance à utiliser de nombreuses pages générées dynamiquement) et qu’il y avait environ 100 clients connectés via 100baseT (en 1999, une situation plus typique serait que la plupart des clients utilisent des modems 28.8 ou 56 Kbps plus lents).

Un examen attentif du benchmark a cependant permis de trouver quelques problèmes légitimes du noyau Linux. Il s’agit notamment d’un bogue TCP, de l’absence de sémantique « wake one » et de goulots d’étranglement SMP (voir les pages de Dan Kegel pour plus d’informations). Les développeurs du noyau Linux ont commencé à travailler sur les faiblesses identifiées par le benchmark.

PC Week a confirmé que Windows a en effet fait mieux dans cette configuration moins probable. Le 30 juin 1999, Mindcraft a publié son Open Benchmark à l’occasion de PC Week. Bien que cela n’excuse pas les préjugés de Mindcraft, cela a permis de convaincre qu’il y avait des problèmes légitimes dans le noyau Linux et Apache qui faisaient de GNU/Linux un produit moins performant dans cette configuration quelque peu improbable (servir des pages Web statiques aux clients ayant des connexions haut débit). Notez que cette configuration était considérablement différente de celle de Ziff-Davis, donc les benchmarks ne sont pas nécessairement contradictoires ; c’est simplement que différentes hypothèses peuvent produire différents résultats (comme je l’ai déjà souligné).

Le magazine allemand c’t constaté que les sites web avec NT étaient meilleurs au niveau du contenu statique et des connexions réseau doubles, mais les sites GNU/Linux étaient meilleurs pour les sites avec contenu dynamique et connexions simples. Leur article Mixed Double : Linux et NT en tant que serveur Web sur le banc d’essai ont examiné Windows NT avec IIS par rapport à GNU/Linux (noyau 2.2.9) avec Apache sur une machine avec quatre CPU Pentium II Xeon. Ils ont découvert que le gagnant de la performance dépendait de la situation (ce n’est pas une surprise). Si le serveur Web servait principalement des pages Web statiques par l’intermédiaire de deux cartes réseau haute performance, la performance de NT était meilleure. Cependant, ils ont également noté que dans les sites web sophistiqués, ce résultat ne s’appliquait pas, parce que ces sites ont tendance à avoir un contenu principalement dynamique, et que peu de sites avaient ce type de connexion double-réseau (quand une seule carte réseau était disponible, GNU/Linux avait généralement un avantage). Ils ont conclu que « le résultat de Mindcraft ne peut pas être transféré à des situations avec un contenu principalement dynamique – le cas commun dans presque tous les sites web sophistiqués…. Dans les domaines des serveurs web les plus pertinents pour une utilisation pratique, Linux et Apache sont déjà en avance d’au moins un nez. Si les pages ne proviennent pas directement de la mémoire principale du système, la situation est même inversée pour favoriser Linux et Apache : Ici, les produits phares du mouvement[FLOSS] laissent leurs concurrents commerciaux de Redmond loin derrière eux. » Voir leur document pour plus de chiffres et d’informations générales.

Network Computing a constaté que GNU/Linux avec Samba fonctionnait essentiellement à la même vitesse que Windows pour le serveur de fichiers. Dans leur article « Is it Time for Linux », Network Computing a comparé Red Hat Linux v5.2 exécutant Samba 2.0.3 avec Microsoft Windows NT Server Enterprise Edition sur un HP NetServer LPr basé sur Pentium II, soulignant la machine avec plusieurs lectures et écrits de petits, moyens et gros fichiers sur une durée de quelques heures.

Pour le service de fichiers, ils n’ont découvert que des « différences de performance négligeables entre les deux pour des charges de travail moyennes…. ». et] en fonction du degré d’accord effectué sur chaque installation, l’un ou l’autre système pourrait être légèrement supérieur à l’autre en termes de performance de partage de fichiers. » Red Hat Linux a légèrement surperformé NT en écriture dans les fichiers, tandis que NT a dépassé Red Hat Linux en lecture massive. Notez que leur configuration était principalement limitée par le réseau ; ils ont déclaré : « A aucun moment nous n’avons pu pousser les CPU à une utilisation de plus de 50 % – l’environnement 100BASE-T NIC, full duplex, ne le permettait pas ».

Ils ont également noté que  » l’examen de la différence de coût entre les deux licences apporte un éclairage entièrement nouveau sur ces essais… les économies potentielles sur les licences seules sont révélatrices « . Par exemple, sur la base d’un prix de vente moyen de 30 $ pour une licence client Windows NT, 100 licences coûteraient environ 3 000 $, plus le coût d’une licence serveur NT (environ 600 $). Comparez cela au prix d’un CD Red Hat Linux, ou peut-être même d’un téléchargement gratuit, et les économies commencent à se rapprocher du coût d’un serveur de groupe de travail bas de gamme. Augmentez cela jusqu’à quelques milliers de clients et vous commencerez à voir les économies monter en flèche. » Voir la section du présent document sur le coût total de possession.

Les différents efforts des développeurs Linux pour améliorer les performances semblent avoir porté leurs fruits. En juin 2000, Dell a mesuré les différentes valeurs de SPECweb99 mentionnées ci-dessus.

Il existe d’autres points de repère, mais je ne les ai pas pris en compte pour diverses raisons :

Une série plus récente d’articles parus dans eWeek en juin 2001, montre des chiffres impressionnants sur les performances de GNU/Linux avec TUX. Cependant, bien qu’ils le comparent à Microsoft IIS, ils n’incluent pas le SWC (Scalable Web Cache) de Microsoft, la réponse de Microsoft à TUX – et son omission rend cette comparaison moins équilibrée. Vous pouvez en savoir plus sur « Tux : Built for Speed », « Smart Coding pay off Big », et les remarques détaillées de Kegel.

L’article de ZDNet Take that ! Linux bat MS dans le benchmark test, a claironné haut et fort que GNU/Linux était le leader des performances de mai 2001 dans le benchmark TPC-H d’aide à la décision (base de données) (catégorie  » 100 Go « ). Cependant, ce résultat ne doit pas être pris très au sérieux ; le matériel sur lequel Linux a fonctionné était plus puissant que celui du second (Windows 2000). Franchement, le fait le plus surprenant que son score le plus élevé (qui peut être facilement expliqué par le matériel) est sa simple mesure avec ce benchmark – traditionnellement, seuls les chiffres de Microsoft sont rapportés pour ce benchmark à cette échelle. Pour plus d’informations, voir les résultats du PTC.

Plus d’informations sur les différents benchmarks sont disponibles dans les comparatifs de Kegel NT vs Linux Server Benchmark Comparisons, SPEC, et l’entrée dmoz sur le benchmarking.

Rappelez-vous qu’en benchmarking, tout dépend de la configuration et des hypothèses que vous faites. De nombreux systèmes sont limités par la bande passante du réseau ; dans de telles circonstances, l’achat d’un ordinateur plus rapide ne sera d’aucune utilité. Même lorsque la bande passante réseau n’est pas la limite, tout dépend de ce que les produits sont conçus pour faire. Ni Windows ni GNU/Linux ne réussissent bien dans les configurations de mémoire partagée multiprocesseurs symétriques (SMP) à grande échelle, par exemple pour les CPU 64 voies avec mémoire partagée. D’un autre côté, si vous voulez de la mémoire non partagée massivement distribuée, GNU/Linux se débrouille très bien, puisque vous pouvez acheter plus de processeurs avec une quantité donnée d’argent. Si la distribution massive ne peut pas vous aider et que vous avez besoin de très hautes performances, Windows n’est même pas dans la course ; aujourd’hui Windows ne fonctionne essentiellement que sur des puces compatibles Intel x86, alors que GNU/Linux fonctionne sur des processeurs beaucoup plus puissants ainsi que le x86.

5. Évolutivité

Ce qui nous amène au sujet de l’extensibilité, un terme simple avec de multiples significations qui ont toutes à avoir avec soit la croissance à la grande taille, ou être en mesure de couvrir à la fois les petites et grandes tailles. Les grands problèmes peuvent inclure ceux qui ont besoin de plates-formes matérielles avec des performances extrêmement élevées, un stockage massif ou une quantité massive de logiciels pour faire le travail. Les petites tailles peuvent inclure des assistants numériques personnels (PDA). Cependant, de nombreuses données suggèrent que les FLOSS peuvent évoluer :

GNU/Linux domine dans les supercalculateurs : GNU/Linux est utilisé dans 78% des 500 supercalculateurs les plus rapides du monde, la plupart des dix supercalculateurs les plus rapides du monde… y compris le supercalculateur le plus puissant du monde (en mars et novembre 2005). En mars 2005, Forbes a noté que 60% des supercalculateurs les plus rapides du monde utilisent GNU/Linux, utilisant les données du Top500 pour déterminer quels ordinateurs sont les plus rapides au monde. Parmi ces 500 premiers, les meilleures informations disponibles montrent que 301 tournent sous GNU/Linux, 189 sous Unix, 2 sous FreeBSD (une autre variante Unix FLOSS), et un sous Microsoft Windows. Les systèmes d’exploitation de quelques machines sont inconnus, mais même ainsi, Forbes dit « Linux est clairement de loin le meilleur choix pour le calcul haute performance ».

Joe Greenseid a rapporté sur LWN que cette domination est encore plus évidente pour les dix premiers supercalculateurs en mars 2005 ; les systèmes GNU/Linux représentent 8 des 10 premiers. Six d’entre eux ont été réalisés par IBM, dont cinq systèmes Blue Gene et un PPC Cluster. La troisième place est occupée par un SGI Altix sous GNU/Linux. Thunder, un système Intel Itanium2 Tiger4 « boîte blanche », occupe la septième place et fonctionne sous GNU/Linux.

Des données plus récentes de novembre 2005 montrent qu’il s’agit d’une tendance à la hausse. L’article de Jay Lyman du 15 novembre 2005, Linux continue de dominer le supercalculateur, note que sur la liste du Top500 de novembre 2005, 78% des machines les plus rapides du monde (391/500) dépendent de Linux, bien plus que toute autre chose. Sept des dix premiers systèmes utilisent GNU/Linux (les trois autres utilisent AIX, UNICOS et Super-UX), et comme pour l’étude de mars 2005, le superordinateur le plus rapide du monde fonctionne sous GNU/Linux. En revanche, « Microsoft Windows n’est même pas apparu sur la liste. » Erich Strohmaier, co-fondateur et éditeur de la liste Top500, a déclaré que le FLOSS « Linux est l’OS dominant dans la communauté des supercalculateurs et gardera ce rôle…. Au contraire, elle ne fera qu’augmenter sa prévalence. » En fait, il pense qu’aucun autre système d’exploitation ne sera probablement utilisé autant que[GNU/]Linux dans le futur prévisible du Top500. Strohmaier a dit qu’il y avait au moins deux raisons à cela : GNU/Linux était plus rentable, et qu’il correspondait à ce que de nombreuses organisations utilisent déjà sur leurs serveurs. Au lieu de cela, GNU/Linux « est devenu un standard de l’industrie dans cette communauté, et tout autre OS essayant de percer ce marché (Mac OS X, Windows, etc.) devrait livrer une bataille difficile et ardue.

Cette utilisation croissante des systèmes d’exploitation FLOSS dans les supercalculateurs est une tendance de longue date. Depuis des années, GNU/Linux est utilisé sur les ordinateurs les plus puissants du monde. GNU/Linux peut être utilisé pour supporter le traitement parallèle massif ; une approche commune pour ce faire est l’architecture Beowulf. En juin 2001, le 42ème ordinateur le plus puissant (selon la liste TOP 500 des supercalculateurs, juin 2001) était le « CPlant » de Sandia basé sur Linux. En mai 2004, le « Thunder » du Lawrence Livermore National Laboratory, basé sur Linux, produisait 19,94 téraflops, ce qui en faisait le deuxième ordinateur le plus rapide au monde et le plus puissant en Amérique du Nord. En novembre 2004, le supercalculateur Blue Gene/L d’IBM, basé sur Linux, est devenu le supercalculateur le plus puissant du monde, avec 91,75 téraflops de performance maximale en virgule flottante (mesurée par le test Linpack Fortran) et 70,72 téraflops de performance soutenue. Ce système est basé sur Linux et ne représente qu’un quart de sa taille prévue. En effet, IBM prévoit pour la famille Blue Gene d’effectuer à terme un quadrillion de calculs par seconde (un pétaflop). En mars 2005, Blue Gene/L était toujours le supercalculateur le plus rapide au monde, et il utilisait GNU/Linux. L’Internet Archive – la plus grande bibliothèque du monde en termes de quantité de texte qu’elle conserve – utilise un système d’exploitation FLOSS. L’Internet Archive parcourt et archive l’ensemble du World Wide Web, y compris les anciennes versions de documents, sous réserve de certaines restrictions. Ils notent qu’en 2005, ils archivaient environ un pétaoctet de données (un million de gigaoctets), qui croissaient à un rythme de 20 téraoctets par mois. Comme ils le notent, « Cela éclipse la quantité de texte contenue dans les plus grandes bibliothèques du monde, y compris la Library of Congress. » Ils le font sur des machines x86 utilisant le système d’exploitation GNU/Linux. En juin 2005, ils sont en train de changer l’architecture de leur machine, en ajoutant 1,5 pétaoctets d’espace supplémentaire (voir ici pour plus de détails), mais ils sont toujours sous GNU/Linux. GNU/Linux et NetBSD (tous deux en FLOSS) supportent une plus large gamme de plates-formes matérielles et de performances que tout autre système d’exploitation. Beaucoup de gens entendent par « évolutivité » pour répondre à la question, « pouvez-vous utiliser le même système logiciel pour les petits et les grands projets ? Souvent, le problème implicite est que vous aimeriez commencer avec un système modeste, mais que vous avez la possibilité de le développer au fur et à mesure que les besoins l’exigent sans modifications coûteuses. Ici, le FLOSS est imbattable ; parce que beaucoup de gens peuvent identifier les problèmes d’évolutivité, et parce que son code source peut être optimisé pour sa plate-forme, l’évolutivité de nombreux produits FLOSS est incroyable. Regardons spécifiquement GNU/Linux. GNU/Linux fonctionne sur les PDA (y compris l’Agenda VR3), le matériel obsolète (vous n’avez donc pas besoin de jeter le matériel), le matériel PC moderne commun, plus d’une douzaine de chipsets différents (pas seulement Intel x86s), les mainframes, les clusters massifs, et un certain nombre de supercalculateurs. Il y a même un prototype d’implémentation de GNU/Linux sur une montre-bracelet, et GNU/Linux fonctionne sur un grand nombre de processeurs différents, y compris le x86, Intel Itanium, ARM, Alpha, IBM AS/400 (midrange), SPARC, MIPS, 68k, et Power PC, en effet, le noyau Linux supporte plus différents processeurs que tout autre noyau de système d’exploitation a jamais. Un autre système d’exploitation FLOSS qui s’adapte largement à de nombreuses autres plates-formes matérielles est NetBSD.

Ainsi, vous pouvez acheter un petit système GNU/Linux ou NetBSD et le développer au fur et à mesure que vos besoins augmentent ; en effet, vous pouvez remplacer un petit matériel par des processeurs massivement parallèles ou extrêmement rapides ou des architectures CPU très différentes sans changer d’OS. Windows CE s’adapte aux plates-formes plus petites, mais Windows ne s’adapte tout simplement pas aux plus grands systèmes informatiques. Windows fonctionnait auparavant sur d’autres plates-formes (comme les puces Alpha), mais en termes pratiques, Windows est utilisé et supporté presque exclusivement sur les systèmes x86. De nombreux systèmes Unix (comme Solaris) s’adaptent bien à de grandes plates-formes spécifiques, mais pas aussi bien à des plates-formes distribuées ou petites. En bref, les systèmes les plus évolutifs et portables disponibles sont les FLOSS.

Les processus de développement FLOSS peuvent s’adapter pour développer de grands systèmes logiciels. Il fut un temps où il était courant de se demander si le processus FLOSS était  » évolutif « , c’est-à-dire si les processus FLOSS pouvaient réellement développer des systèmes à grande échelle. La « Lettre ouverte aux amateurs » de Bill Gates de 1976 demandait rhétoriquement : « Qui peut se permettre de faire un travail professionnel pour rien ? Quel hobbyiste peut mettre trois années-homme dans la programmation, trouver tous les bugs, documenter son produit et le distribuer gratuitement ? » Il a présumé que ces questions étaient sans réponse, mais il avait tort. Voir mes rapports estimant la taille de GNU/Linux. Pour Red Hat Linux 6.2, j’ai trouvé que la taille était supérieure à 17 millions de lignes de code source (SLOC). Traditionnellement, il aurait fallu 4 500 années-personnes et plus de 600 millions de dollars pour mettre en œuvre cette distribution. Pour Red Hat Linux 7.1, j’ai trouvé qu’il avait plus de 30 millions de SLOC, représentant 8 000 années-personnes ou 1 milliard de dollars (un « Gigabuck »). La plupart des développeurs attribuent au principe de conception que les composants doivent être divisés en composants plus petits quand c’est possible – une pratique également appliquée à GNU/Linux – mais certains composants ne sont pas facilement divisibles, et donc certains composants sont eux-mêmes assez gros (par exemple, plus de 2 millions de lignes de code pour le noyau, principalement dans les pilotes de périphérique). En octobre 2002, Sourceforge.net a annoncé qu’il avait dépassé les 500 000 utilisateurs enregistrés et pris en charge près de 50 000 projets FLOSS – et un grand nombre de projets FLOSS n’utilisent pas SourceForge. Il n’est donc plus raisonnable d’affirmer que les FLOSS ne peuvent pas évoluer pour développer de grands systèmes – parce qu’ils le peuvent clairement.

6. Sécurité

Il est très difficile de mesurer quantitativement la sécurité. Cependant, voici un certain nombre de tentatives pour le faire, et ils suggèrent que le FLOSS est souvent supérieur aux systèmes propriétaires, du moins dans certains cas. Je vais me concentrer sur la comparaison des FLOSS avec les systèmes Windows, puisque, comme je l’ai déjà mentionné, d’autres systèmes propriétaires incluent de plus en plus de composants FLOSS (rendant les comparaisons plus difficiles).

Il fut un temps où la sécurité des systèmes FLOSS faisait l’objet d’un large débat. Il est clair que les systèmes FLOSS ne sont pas magiquement invincibles à cause de failles de sécurité. Mais pour la plupart de ceux qui étudient la question, la question de savoir si les FLOSS améliorent ou réduisent la sécurité semble être une question de plus en plus réglée. Les prestigieuses Communications de l’ACM publiées en janvier 2007 par Hoepman et Jacobs dans « Increased Security through Open Source », dans lesquelles Hoepman et Jacobs affirment que « Nous pensons que les logiciels libres sont une condition nécessaire pour construire des systèmes plus sûrs…. l’ouverture des sources des systèmes existants va d’abord augmenter leur exposition…. Toutefois, cette exposition (et le risque associé à l’utilisation du système) peut maintenant être déterminée publiquement. Dans le cas des systèmes à source fermée, l’exposition perçue peut sembler faible, alors que l’exposition réelle… peut être beaucoup plus élevée. De plus, comme la source est ouverte… la période d’exposition accrue est courte. A long terme, l’ouverture de la source augmentera sa sécurité…. et] il permet aux utilisateurs de faire un choix plus éclairé au sujet de la sécurité d’un système…. »

Fondamentalement, le FLOSS répond mieux au principe de « conception ouverte », un principe de base pour développer des systèmes sécurisés identifiés par Saltzer et Schroeder bien avant que le FLOSS ne devienne populaire. Ce principe en soi n’est même pas nouveau ; le juge Louis Brandeis de la Cour suprême a noté plus tôt que  » la publicité est recommandée à juste titre comme un remède aux maladies sociales et industrielles. On dit que la lumière du soleil est le meilleur des désinfectants, la lumière électrique le policier le plus efficace. »

Le Parlement européen a approuvé l’A5-0264/2001, qui appelle « la Commission et les États membres à promouvoir les projets de logiciels dont le texte source est rendu public (logiciels libres), car c’est le seul moyen de garantir que les programmes ne comportent pas de portes dérobées[et invite] la Commission à fixer une norme pour le niveau de sécurité des logiciels de messagerie, classant ceux dont le code source n’a pas été rendu public dans la catégorie « moins fiable » (5 septembre 2001 ; 367 voix pour, 159 contre et 39 abstentions).

Voici quelques études quantitatives qui étayent cette affirmation :

« Is Open Source Security a Myth ? par Guido Schryen (Communciations of the ACM, mai 2011) donne une excellente preuve que le logiciel libre devrait être pris en compte. montre que, par leur mesure, le logiciel libre et les logiciels propriétaires étaient à peu près égaux en sécurité. Ce qui veut dire que la sécurité des OSS n’est pas un mythe. Dans ce rapport, l’auteur a examiné la base de données nationale du NIST sur la vulnérabilité, sélectionné 17 progiciels, et a constaté que, selon cette mesure,  » les logiciels open source et les logiciels fermés ne diffèrent pas significativement en termes de gravité des vulnérabilités, de type de développement de la divulgation de la vulnérabilité dans le temps et de comportement des fournisseurs en matière de patching. Bien que le développement de logiciels libres semble prévenir un comportement « extrêmement mauvais » en matière de correctifs, dans l’ensemble, il n’existe aucune preuve empirique que le type particulier de développement logiciel soit le principal moteur de la sécurité. C’est plutôt la politique du fournisseur particulier qui détermine le comportement des correctifs. » En effet, il n’est pas aussi clair que le logiciel libre n’est « tout aussi bon » même en regardant le papier. L’article rapporte que « 17,6% (30,4%) des vulnérabilités logicielles open source (fermées) publiées (en termes de médiane) sont encore non corrigées ». Ainsi, en moyenne, les OSS avaient près de la moitié moins de vulnérabilités non corrigées…. ce qui NE ressemble PAS à de l’égalité. Je suis d’accord avec l’auteur, cependant, que la question de savoir si quelque chose était ou non non non patché dépendait beaucoup plus du fournisseur que du logiciel libre ou du logiciel propriétaire. Fait encore plus intéressant, les vulnérabilités des logiciels libres avaient tendance à être beaucoup moins graves : « Lorsque nous déterminons les médianes des médianes des logiciels libres (5,7) et des logiciels fermés (6,8) ainsi que les médianes correspondantes des proportions de vulnérabilités très graves (30,28 % et 45,95 %, respectivement), la première impression est que les logiciels libres sont plus sûrs en ce qui concerne le niveau de gravité. Cependant, en appliquant l’analyse statistique (test U de Mann-Whitney) aux médianes, aucune différence statistiquement significative ne peut être trouvée : le test bilatéral fournit un nombre élevé pour p (p=0,11). En appliquant le même test aux chiffres des proportions, le test, encore une fois, n’indique pas que les échantillons sont significativement différents au niveau 0,05 (p=0,06). » Le test statistique avec un p=0.06 n’atteint pas techniquement le seuil p=0.05 (je pense que c’est dû à la petite taille de l’échantillon), mais je me présenterais à TOUT casino si je savais que je vais gagner 94% du temps.
L’assurance « hacker insurance » de J.S. Wurzler Underwriting Managers coûte de 5 à 15% plus cher si Windows est utilisé au lieu d’Unix ou de GNU/Linux pour les opérations Internet. Au moins une compagnie d’assurance a indiqué que Windows NT est moins sûr que les systèmes Unix ou GNU/Linux, ce qui entraîne des primes plus élevées pour les systèmes Windows. Il est souvent difficile de savoir quand une entreprise a été fissurée avec succès ; les entreprises ne veulent souvent pas divulguer de telles informations au public pour diverses raisons. En effet, si les consommateurs ou les partenaires commerciaux perdaient confiance dans une entreprise, la perte qui en résulterait pourrait être beaucoup plus importante que l’attaque initiale. Toutefois, les compagnies d’assurance qui s’assurent contre le fendillement peuvent exiger qu’elles obtiennent ces renseignements (comme condition de couverture) et peuvent calculer les primes futures en fonction de cette information. Selon Cnet, Okemos, J.S. Wurzler Underwriting Managers, l’une des premières agences à offrir une « assurance hacker » (et donc plus susceptible de disposer de données historiques pour le calcul des primes), a commencé à facturer ses clients entre 5 et 15% de plus s’ils utilisent le logiciel Windows NT de Microsoft au lieu de Unix ou GNU/Linux pour leurs opérations Internet. Walter Kopf, vice-président senior de la souscription, a déclaré : « Nous avons découvert que le risque de perte est plus grand avec le système NT. Il a également indiqué que la décision est fondée sur les conclusions de centaines d’évaluations de sécurité que l’entreprise a effectuées sur ses clients de petites et moyennes entreprises au cours des deux dernières années.

La plupart des sites Web endommagés sont hébergés par Windows, et les sites Windows sont endommagés de façon disproportionnée plus souvent que ne l’explique sa part de marché. Une autre façon d’examiner la sécurité est d’examiner le système d’exploitation utilisé par les sites Web endommagés et de les comparer à leur part de marché. Un site Web « dégradé » est un site qui a été piraté et dont le contenu a été modifié (généralement de manière assez évidente, car les modifications subtiles ne sont souvent pas signalées). L’avantage de cette mesure est que, contrairement à d’autres types d’effractions de sécurité (qui sont souvent  » étouffées « ), il est souvent très difficile pour les victimes de cacher le fait qu’elles ont été attaquées avec succès. Historiquement, ces informations étaient conservées par Attrition.org. Un résumé peut être trouvé dans l’article de James Middleton, avec les données réelles trouvées sur le site Web d’Attrition.org. Les données d’Attrition.org ont montré que 59% des systèmes endommagés fonctionnaient sous Windows, 21% sous Linux, 8% sous Solaris, 6% sous BSD, et 6% sous tous les autres systèmes entre août 1999 et décembre 2000. Ainsi, les systèmes Windows ont eu presque trois fois plus de dégradations que les systèmes GNU/Linux. Ce serait logique s’il y avait 3 fois plus de systèmes Windows, mais peu importe les chiffres que vous utilisez, ce n’est tout simplement pas vrai.

Bien sûr, tous les sites ne sont pas piratés par leur serveur Web et leur système d’exploitation – beaucoup sont piratés par des mots de passe exposés, une mauvaise programmation d’applications Web, et ainsi de suite. Mais si c’est le cas, pourquoi y a-t-il une si grande différence dans le nombre de dégradations basées sur l’OS ? D’autres raisons pourraient sans doute être avancées (ces données ne montrent qu’une corrélation et non une cause), mais cela suggère certainement que les FLOSS peuvent avoir une meilleure sécurité.

Attrition.org a décidé d’abandonner le suivi de ces informations en raison de la difficulté de suivre le volume des sites cassés, et il est apparu que le suivi de ces informations ne serait pas possible. Cependant, defaced.alldas.de a décidé d’effectuer ce service précieux. Leurs rapports récents montrent que cette tendance s’est poursuivie ; le 12 juillet 2001, ils signalaient que 66,09% des sites endommagés fonctionnaient sous Windows, contre 17,01% pour GNU/Linux, sur 20.260 sites endommagés.

Red Hat Linux Enterprise a très bien fonctionné sur une période de deux ans ; l’installation par défaut n’était vulnérable qu’à 3 failles critiques.

« Rapport de risque : Deux ans de Red Hat Enterprise Linux 4 » par Mark Cox a examiné Red Hat Enterprise Linux 4 AS depuis sa sortie, le 15 février 2005, jusqu’au 14 février 2007. Au cours de cette période, il a publié 289 avis de sécurité, mais ce chiffre est très trompeur, car il ignore la gravité et suppose qu’un système a installé tous les paquets disponibles (ce qui n’est ni par défaut ni probable). Une installation par défaut d’Enterprise Linux 4 AS n’était vulnérable qu’à 3 failles critiques. Le système comprend intentionnellement de nombreux mécanismes pour empêcher que des vulnérabilités inconnues ne soient exploitables, ou du moins pour réduire leur impact. Mark Cox n’est pas un observateur indépendant ; il est directeur de l’équipe d’intervention de sécurité de Red Hat, alors n’oubliez pas cela. D’un autre côté, c’est un technologue, pas un spécialiste du marketing ; il a développé des logiciels pour de nombreux projets.

Les systèmes Linux non patchés durent plus longtemps que les systèmes Windows non patchés, selon une combinaison d’études du projet Honeynet, AOL et d’autres. Comme résumé dans C|Net et Vnunet, et décrit plus en détail dans le rapport du projet Honeynet « Know Your Enemy : Trend Analysis » (17 décembre 2004), en 2004, le système Linux moyen dure en moyenne trois mois avant d’être compromis (une augmentation significative par rapport aux 72 heures de vie d’un système Linux en 2001). Les systèmes Windows non patchés continuent d’être compromis beaucoup plus rapidement, parfois en quelques minutes. Ces données sur le compromis Windows sont cohérentes avec d’autres études. Avantgarde a constaté que Windows n’a pas duré longtemps et qu’un système Windows XP non corrigé (pré-SP2) n’a duré que 4 minutes sur Internet avant d’être compromis. et n’a généralement pas duré longtemps (voir aussi USAToday’s « Unprotected PCs can be hijacked in minutes », qui fonctionne avec AvantGarde). Notez, cependant, que les utilisateurs qui installent le Service Pack 2 de Windows ont beaucoup moins de risques que les versions précédentes de Windows. Symantec’s Internet Security Threat Report (1er janvier-30 juin 2004), The Internet Storm Center’s Survival Time History affirme qu’en décembre 2004 un temps de survie Windows de 18 minutes.

On pourrait faire valoir que parce qu’il y a tant de systèmes Windows, les attaquants ont tendance à se concentrer sur Windows. Cependant, Apache montre que le simple fait d’avoir la plus grande part de marché ne rend pas automatiquement un système plus vulnérable. Quoi qu’il en soit, il y a de bonnes raisons de réduire l’utilisation d’un système s’il est si facilement subverti, peu importe les raisons, s’il existe une alternative.

Dans un concours de 2008 où le premier attaquant qui a réussi a reçu l’ordinateur et l’argent du prix, Vista et MacOS sont tombés mais Linux est resté en place. Vous devez prendre ces concours avec des grains de sel, mais quand même, c’est assez intéressant.

La base de données de vulnérabilité de Bugtraq suggère que l’OS le moins vulnérable est FLOSS, et que tous les OS FLOSS dans son étude étaient moins vulnérables que Windows en 1999-2000, à moins que vous n’ayez compté chaque vulnérabilité GNU/Linux plusieurs fois. Une approche pour examiner la sécurité est d’utiliser une base de données de vulnérabilité ; une analyse d’une base de données est la page Bugtraq Vulnerability Database Statistics. En date du 17 septembre 2000, voici le nombre total de vulnérabilités de certains des principaux OS :

 

OS 1997 1998 1999 2000
Debian GNU/Linux 2 2 30 20
OpenBSD 1 2 4 7
Red Hat Linux 5 10 41 40
Solaris 24 31 34 9
Windows NT/2000 4 7 99 85

Vous ne devriez pas prendre ces chiffres très au sérieux. Certaines vulnérabilités sont plus importantes que d’autres (certaines peuvent être peu importantes si elles sont exploitées ou ne le sont que dans des circonstances peu probables) et d’autres sont exploitées activement (alors que d’autres ont déjà été corrigées avant l’exploitation). Les systèmes d’exploitation FLOSS ont tendance à inclure de nombreuses applications qui sont généralement vendues séparément dans des systèmes propriétaires (y compris Windows et Solaris). Par exemple, Red Hat 7.1 comprend deux systèmes de bases de données relationnelles, deux traitements de texte, deux tableurs, deux serveurs Web et de nombreux éditeurs de texte. De plus, dans le monde de l’open source, les vulnérabilités sont discutées publiquement, de sorte que des vulnérabilités peuvent être identifiées pour les logiciels encore en développement (par exemple, les logiciels « beta »). Ceux qui détiennent de petites parts de marché sont susceptibles d’être moins analysés. Le commentaire « small market share » ne fonctionnera pas avec GNU/Linux, puisque GNU/Linux est l’OS serveur #1 ou #2 (selon la façon dont on les compte). Cela montre clairement que les trois OS FLOSS listés (Debian GNU/Linux, OpenBSD et Red Hat Linux) ont fait beaucoup mieux par cette mesure que Windows en 1999 et (jusqu’à présent) en 2000. Même si une distribution GNU/Linux bizarre était créée explicitement pour dupliquer toutes les vulnérabilités présentes dans n’importe quelle distribution GNU/Linux majeure, cette mauvaise distribution GNU/Linux ferait toujours mieux que Windows (elle aurait 88 vulnérabilités en 1999, contre 99 dans Windows). Les meilleurs résultats ont été obtenus pour OpenBSD, un OS FLOSS qui depuis des années s’est concentré spécifiquement sur la sécurité. On pourrait faire valoir que son plus petit nombre de vulnérabilités est dû à son déploiement plus rare, mais l’explication la plus simple est qu’OpenBSD s’est fortement concentré sur la sécurité – et l’a fait mieux que les autres.

Ces données sont intéressantes en partie parce que plusieurs reporters font la même erreur : compter plusieurs fois la même vulnérabilité. Un journaliste, Fred Moody, n’a pas compris ses sources de données – il a utilisé ces chiffres pour essayer de montrer que la sécurité de GNU/Linux était pire. Il a pris ces nombres et a ensuite ajouté ceux de GNU/Linux pour que chaque vulnérabilité Linux soit comptée au moins deux fois (une fois pour chaque distribution à laquelle elle s’appliquait plus une autre). En utilisant ces chiffres absurdes, il a déclaré que GNU/Linux était pire que tout. Si vous lisez son article, vous devez également lire la réfutation du responsable de la zone de mise au point de Microsoft à SecurityFocus pour comprendre pourquoi l’article du journaliste était si faux.

En 2002, un autre journaliste (James Middleton) a commis la même erreur, ne tirant apparemment aucun enseignement de ses travaux antérieurs. Middleton a compté la même vulnérabilité Linux jusqu’à quatre fois. Ce qui est bizarre, c’est qu’il a même rapporté les chiffres individuels montrant que des systèmes Linux spécifiques étaient en fait plus sûrs en utilisant la liste des vulnérabilités de Bugtraq jusqu’en août 2001, et il n’a pas réalisé ce que cela signifiait. Il a indiqué que Windows NT/2000 souffrait de 42 vulnérabilités, tandis que Mandrake Linux 7.2 (maintenant Mandriva) en a créé 33, Red Hat Linux 7.0 28, Mandrake 7.1 27 et Debian 2.2 26. Bref, toutes les distributions GNU/Linux présentaient significativement moins de vulnérabilités à ce jour. Il n’est pas tout à fait clair ce qui était considéré comme étant « dans » l’OS dans ce cas, ce qui fait une différence. Il y a quelques indices que les vulnérabilités de certains produits basés sur Windows (comme Exchange) n’ont pas été comptées, alors que les vulnérabilités des produits GNU/Linux ayant la même fonctionnalité (par exemple, sendmail) ont été comptées. Il semble également que beaucoup d’attaques Windows étaient plus dangereuses (qui étaient souvent des attaques qui pouvaient être invoquées par des attaquants distants et qui étaient activement exploitées) que les attaques GNU/Linux (qui étaient souvent des attaques qui ne pouvaient être invoquées que par des utilisateurs locaux et n’étaient pas activement exploitées à l’époque). J’aimerais avoir des liens vers quelqu’un qui a analysé ces questions plus attentivement. Ce qui est drôle, c’est qu’étant donné toutes ces erreurs, l’article prouve que les distributions GNU/Linux étaient plus sûres.

L’article du 30 septembre 2002 de VNUnet.com « Honeymoon over for Linux Users », affirme qu’il y a plus de « bogues Linux » que de « bogues Microsoft ». Il cite X-Force (le groupe de surveillance de l’entreprise américaine de logiciels de sécurité Internet Security Systems), et résume en disant qu’en 2001, le centre a trouvé 149 bogues dans les logiciels Microsoft contre 309 pour Linux, et en 2002, 485 bogues Linux ont été trouvés contre 202 pour Microsoft. Cependant, Linux Weekly News a découvert et rapporté de sérieuses failles dans ces chiffres :

« Chaque distribution est comptée indépendamment. La même vulnérabilité dans cinq distributions comptera comme cinq vulnérabilités distinctes. Cette pratique surestime considérablement le nombre de problèmes Linux signalés.
Les vulnérabilités Linux incluent celles des applications (c’est-à-dire PostgreSQL) qui ne font pas partie d’un système Windows standard.
La plupart des vulnérabilités de Linux sont détectées par des audits de code et des efforts similaires ; elles sont corrigées et signalées avant toute exploitation. Tous les bogues Windows trouvés lors d’audits similaires sont corrigés silencieusement et n’apparaissent pas dans ces comptes.

En effet, en supposant que les vulnérabilités n’ont été comptées que trois fois (et donc divisées par 3), Linux aurait un meilleur résultat, sans parler du fait qu’il existe plus de 3 distributions Linux et les autres facteurs notés par Linux Weekly News.

En effet, comme le note Bruce Schneier dans Crypto-gram du 15 septembre 2000, les vulnérabilités sont affectées par d’autres facteurs tels que le nombre d’attaquants qui exploitent la vulnérabilité, la vitesse à laquelle une correction est publiée par un fournisseur et la vitesse à laquelle elle est appliquée par les administrateurs. Le système de personne n’est invincible.

Une analyse plus récente de John McCormick dans Tech Republic a comparé les vulnérabilités de Windows et de Linux à l’aide de chiffres jusqu’en septembre 2001. Il s’agit d’une analyse intéressante qui montre que, bien que Windows NT soit en tête du nombre de vulnérabilités en 2000, en utilisant les chiffres de 2001 jusqu’en septembre 2001, Windows 2000 était passé au « milieu du peloton » (certains systèmes Linux ayant plus de vulnérabilités, et d’autres moins). Cependant, il semble que dans ces chiffres, les bogues dans les applications Linux ont été comptés avec Linux, alors que les bogues dans les applications Windows ne l’ont pas été – et si c’est le cas, ce n’est pas vraiment une comparaison juste. Comme indiqué ci-dessus, les distributions Linux typiques regroupent de nombreuses applications qui sont achetées séparément de Microsoft.

Red Hat (un fournisseur de FLOSS) a répondu plus rapidement que Microsoft ou Sun aux avis ; Sun avait moins d’avis à répondre mais a mis plus de temps à le faire. Un autre point de données est que SecurityPortal a compilé une liste du temps qu’il faut aux fournisseurs pour répondre aux vulnérabilités. C’est ce qu’ils ont conclu :

Comment se sont comportés nos concurrents ? Red Hat a obtenu la meilleure note, avec 348 jours de congé sur 31 avis, pour une moyenne de 11,23 jours de bug à patch. Microsoft a eu 982 jours de vacances sur 61 avis, soit en moyenne 16,10 jours de bug à patch. Sun s’est avéré très lent, bien qu’ayant seulement 8 avis, il n’ait accumulé que 716 jours de récréation, un énorme trois mois pour corriger chaque bogue en moyenne.

Leur tableau de données pour 1999 est le suivant :

 

1999 Advisory Analysis
Vendor Total Days, Hacker Recess Total Advisories Recess Days/Advisory
Red Hat 348 31 11.23
Microsoft 982 61 16.10
Sun 716 8 89.50

Il est clair que ce tableau utilise une méthode différente de celle du tableau précédent pour compter les problèmes de sécurité. Parmi les trois solutions mentionnées ici, Solaris de Sun présentait le moins de vulnérabilités, mais il a fallu de loin le plus de temps pour résoudre les problèmes de sécurité identifiés. Red Hat a été le plus rapide à résoudre les problèmes de sécurité, et placé au milieu de ces trois en nombre de vulnérabilités. Il est intéressant de noter que l’OS OpenBSD (qui est FLOSS) avait moins de vulnérabilités rapportées que toutes celles-là. De toute évidence, le fait d’avoir un système d’exploitation propriétaire ne signifie pas que vous êtes plus en sécurité – Microsoft a reçu le plus grand nombre d’avis de sécurité, de loin, en utilisant l’une ou l’autre méthode de comptage.

Des exemples plus récents semblent le confirmer ; le 30 septembre 2002, l’article d’eWeek Labs « Open Source Quicker at Fixing Falls » a énuméré des exemples spécifiques de réponse plus rapide. Cet article peut être paraphrasé comme suit : En juin 2002, une grave faille a été découverte sur le serveur Web Apache ; la Apache Software Foundation a mis à disposition un correctif deux jours après l’annonce du trou du serveur Web. En septembre 2002, une faille a été annoncée dans OpenSSL et un correctif a été disponible le même jour. En revanche, une faille sérieuse a été trouvée dans Windows XP qui permettait de supprimer des fichiers sur un système à l’aide d’une URL ; Microsoft a discrètement résolu ce problème dans Windows XP Service Pack 1 sans avertir les utilisateurs du problème. Une comparaison plus directe peut être vue dans la façon dont Microsoft et le projet KDE ont répondu à une vulnérabilité SSL (Secure Sockets Layer) qui a fait des navigateurs Internet Explorer et Konqueror, respectivement, des outils potentiels pour voler des données telles que les informations de cartes de crédit. Le jour où la vulnérabilité SSL a été annoncée, KDE a fourni un correctif. Plus tard dans la semaine, Microsoft a affiché une note de service sur son site TechNet, minimisant ainsi le problème. L’article Linux Security Holes Opened and Closed présente le même argument : Les systèmes FLOSS résolvent les problèmes plus rapidement, réduisant ainsi le temps dont disposent les attaquants pour les exploiter.

Lors d’une interview accordée le 18 août 2004, Robert Clyde, directeur de la technologie de Symantec, a fait valoir que les fournisseurs propriétaires étaient plus fiables pour résoudre les problèmes dans un délai déterminé et qu’il ne connaissait pas un seul fournisseur qui serait exposé à une vulnérabilité. Pourtant, la veille (17 août), un article de eWeek révélait qu’Oracle avait attendu 8 mois pour corriger une vulnérabilité. Et Microsoft a attendu 9 mois pour corriger une vulnérabilité critique d’IE (et ne l’a corrigée qu’après qu’elle ait été activement exploitée en 2004). Les fournisseurs propriétaires ne gagnent certainement pas de prix pour avoir réparé de façon fiable et rapide les failles de sécurité.

Ce problème persiste. L’article de Gregg Keizer du 19 novembre 2007, « Microsoft DNS bug connu depuis longtemps, familier aux chercheurs : Le problème remonte à au moins une décennie, disent les pros de la sécurité » note un retard de plus de 10 ans dans les correctifs de Microsoft. Fin 2007, Microsoft a corrigé un problème d’empoisonnement du cache DNS dans son serveur DNS (Domain Name System) inclus avec Windows 2000 Server et Windows Server 2003. Il s’agissait d’une  » faille d’usurpation d’identité qui pouvait être exploitée par des voleurs d’identité ou des auteurs de logiciels malveillants pour rediriger en silence les utilisateurs des destinations Web prévues vers des prétendants malveillants « . Trusteer et Scanit ont tous deux souligné que  » la vulnérabilité est bien connue et a été largement documentée depuis plus d’une décennie. Il est triste de constater que 10 à 15 ans après la découverte des dangers de l’identification prévisible des transactions DNS, l’un des serveurs de cache DNS les plus populaires n’intègre toujours pas une forte génération d’ID de transaction « , déclare Amit Klein, responsable de la technologie chez Trusteer. Alla Bezroutchko de Scanit a cité des recherches de 1997, 2002 et 2003 sur les ID de transactions DNS prévisibles dans le Berkeley Internet Name Domain (BIND), montrant que le problème est « commun et bien étudié ». En revanche, les développeurs de BIND (qui est FLOSS) ont travaillé activement pour contrer cette attaque.

Une enquête menée en 2002 auprès de développeurs a révélé que les systèmes GNU/Linux sont relativement à l’abri des attaques de personnes de l’extérieur. L’enquête menée par Evans Data Corp. au printemps 2002 auprès des développeurs Linux a interrogé plus de 400 développeurs GNU/Linux et a révélé que les systèmes Linux sont relativement à l’abri des attaques de l’extérieur. Bien que les attaques informatiques aient presque doublé chaque année depuis 1988 (selon le CERT), 78% des personnes interrogées dans le cadre de l’enquête sur les développeurs GNU/Linux n’ont jamais subi d’intrusion indésirable et 94% ont fonctionné sans virus. De toute évidence, l’enquête montre que GNU/Linux  » n’est pas très souvent piraté et est encore moins souvent la cible de virus « , selon Jeff Child (l’analyste Linux d’Evans Data Corp.) ; et affirme que  » les systèmes Linux sont relativement à l’abri des attaques de personnes extérieures « . Child note qu’il est beaucoup plus difficile de pirater le système d’un propriétaire averti (et la plupart des développeurs Linux ont des connaissances techniques pratiques) et que parce qu’il y a moins de systèmes de bureau GNU/Linux, il y a moins de virus créés pour attaquer GNU/Linux. Les développeurs interrogés attribuent la faible incidence des attaques à l’environnement Open Source Software (OSS) ; « plus de 84% des développeurs Linux pensent que Linux est intrinsèquement plus sûr que les logiciels non créés dans un environnement OSS, » et ils classent « la sécurité de Linux à peu près comparable en sécurité à Solaris et AIX …. et au-dessus de toute plate-forme Windows avec une marge significative ».

Apache a un meilleur dossier de sécurité que l’IIS de Microsoft, tel que mesuré par les rapports de vulnérabilités graves. L’article d’Eweek du 20 juillet 2001 « Apache évite la plupart des problèmes de sécurité » examine les avis de sécurité datant d’Apache 1.0. Ils ont découvert que le dernier problème de sécurité sérieux d’Apache (un problème où les attaquants distants pouvaient exécuter du code arbitraire sur le serveur) a été annoncé en janvier 1997. Un groupe de problèmes moins graves (y compris un débordement de tampon dans l’utilitaire logresolve du serveur) a été annoncé et corrigé en janvier 1998 avec Apache 1.2.5. Au cours des trois ans et demi qui ont suivi, les seuls problèmes de sécurité à distance d’Apache ont été une poignée de problèmes de déni de service et de fuite d’informations (où les attaquants peuvent voir des fichiers ou des listes de répertoires qu’ils ne devraient pas voir).

En revanche, dans l’article « IT bugs out over IIS security », eWeek a déterminé que Microsoft a publié 21 bulletins de sécurité pour IIS de janvier 2000 à juin 2001. Il est un peu difficile de déterminer la signification de ce chiffre, et l’article ne traite pas de ces complexités, alors j’ai examiné ces bulletins pour trouver leur véritable signification. Tous les bulletins n’ont pas la même signification, donc le simple fait de dire qu’il y avait « 21 bulletins » ne donne pas une vue d’ensemble. Cependant, il est clair que plusieurs de ces bulletins traitent de vulnérabilités dangereuses qui permettent à un utilisateur externe de prendre le contrôle du système. Je compte 5 bulletins sur ces vulnérabilités très dangereuses pour IIS 5.0 (dans la période de janvier 2000 à juin 2001), et avant cela, je compte 3 bulletins pour IIS 4.0 (dans la période de juin 1998 à décembre 1999). N’hésitez pas à examiner les bulletins vous-même ; ce sont les MS01-033, MS01-026, MS01-025, MS01-023, MS00-086, MS99-025, MS99-019 et MS99-003. Le ver de code rouge, par exemple, a exploité un grand nombre de sites SII en raison des vulnérabilités identifiées dans le bulletin de sécurité MS01-033 de juin 2001.

En résumé, en additionnant le nombre de rapports de vulnérabilités dangereuses (qui permettent aux attaquants d’exécuter du code arbitraire), je trouve un total de 8 bulletins pour IIS de juin 1998 à juin 2001, alors qu’Apache n’avait aucune vulnérabilité pour cette période. Le dernier rapport de ce type d’Apache date de janvier 1998, et celui-là concernait l’analyseur de logs et non le serveur web lui-même. Comme on l’a vu plus haut, la dernière vulnérabilité aussi dangereuse dans Apache lui-même a été annoncée en janvier 1997.

Cela prend beaucoup de temps de faire ce genre d’analyse, alors je n’ai pas répété l’effort plus récemment. Cependant, il est intéressant de noter l’article d’eWeek du 10 avril 2002 notant que dix autres failles IIS ont été trouvées dans IIS Server 4.0, 5.0 et 5.1, dont certaines permettraient aux attaquants de planter le service IIS ou de permettre à l’attaquant d’exécuter tout code de son choix.

Même ceci ne donne pas toute l’histoire, cependant ; une vulnérabilité dans IIS tend à être beaucoup plus dangereuse qu’une vulnérabilité équivalente dans Apache, car Apache suit sagement la bonne pratique de sécurité du « moindre privilège ». IIS est conçu pour que toute personne qui prend en charge IIS puisse prendre en charge l’ensemble du système, en effectuant des actions telles que la lecture, la modification ou l’effacement de tout fichier sur le système. En revanche, Apache est installé avec très peu de privilèges par défaut, de sorte que même la prise en charge d’Apache donne relativement peu de privilèges aux attaquants. Par exemple, craquer Apache ne donne pas aux attaquants le droit de modifier ou d’effacer la plupart des fichiers. Ce n’est toujours pas bon, bien sûr, et un attaquant peut être capable de trouver une autre vulnérabilité pour leur donner un accès illimité, mais un système Apache présente plus de défis pour un attaquant que IIS.

L’article affirme qu’il y a quatre raisons à la sécurité forte d’Apache, et trois de ces raisons sont simplement de bonnes pratiques de sécurité. Apache installe très peu d’extensions de serveur par défaut (une approche « minimaliste »), tous les composants du serveur fonctionnent comme un utilisateur non privilégié (supportant le « moindre privilège » comme indiqué ci-dessus), et tous les paramètres de configuration sont centralisés (permettant aux administrateurs de savoir facilement ce qui se passe). Cependant, l’article affirme aussi que l’une des principales raisons pour lesquelles Apache est plus sûr qu’IIS est que son « code source pour les fichiers du serveur central est bien examiné », une tâche qui est rendue beaucoup plus facile par le fait d’être FLOSS, et on pourrait soutenir que FLOSS encourage les autres bonnes pratiques de sécurité.

Le simple nombre d’avis de vulnérabilité est une mesure inadéquate pour la sécurité. C’est particulièrement vrai pour comparer les logiciels propriétaires et FLOSS ; un fournisseur pourrait publier intentionnellement moins de bulletins – mais comme le code d’Apache et sa sécurité sont discutés publiquement, il semble très peu probable qu’Apache sous-estime délibérément les vulnérabilités de sécurité. Moins d’avis de vulnérabilité pourraient résulter si le produit n’est pas bien examiné ou est rarement utilisé – mais ce n’est tout simplement pas le cas pour Apache. Même la ligne de tendance n’est pas encourageante – en utilisant les mois des bulletins (2/99, 6/99, 7/99, 11/00, trois en 5/01 et 6/01), je trouve que le temps en mois entre les nouvelles annonces majeures de vulnérabilité IIS est de 4, 1, 18, 6, 0, 0, 0, 1 et 3 en septembre 2001, contre 12 et 44 pour Apache. Compte tenu de ces tendances, il semble que la sécurité d’IIS s’améliore lentement, mais il y a peu de chances qu’il réponde à celle d’Apache dans un avenir proche. En effet, ces chiffres de vulnérabilité sont corroborés par d’autres mesures telles que les taux de dégradation des sites Web.

En effet, en 2007, Microsoft a admis qu’elle corrige silencieusement de multiples vulnérabilités dans les correctifs sans révéler quelles sont les autres vulnérabilités, et que cela signifie que le nombre de vulnérabilités de Microsoft, tel qu’il est affiché au public, est nettement inférieur au nombre réel. Les FLOSS, en raison de leur nature ouverte, ne peuvent souvent pas cacher les problèmes de cette façon. Pire encore, en 2007, Microsoft a également admis en 2007 que Microsoft avait laissé beaucoup plus de vulnérabilités connues du public non corrigées dans Vista ; Microsoft n’a corrigé que 12 des 27 vulnérabilités Vista divulguées dans les six mois suivant sa première livraison (novembre 2006), alors que pendant les six premiers mois de Windows XP, son équipe sécurité en a corrigé 36 sur 39.

La question ici n’est pas de savoir si un programme donné est invincible ou non (ce qui n’a pas de sens !) – la question est de savoir lequel est le plus susceptible de résister aux attaques futures, sur la base des performances passées. Il est clair que le FLOSS Apache a un bien meilleur dossier de sécurité que l’IIS propriétaire, à tel point que Gartner Group a décidé de faire une recommandation inhabituelle (décrite ci-dessous).

IIS a été attaqué 1 400 fois plus souvent qu’Apache en 2001, et Windows a été attaqué plus souvent que toutes les versions d’Unix. Arthur Wong, co-fondateur et PDG de SecurityFocus, a présenté une analyse des différentes vulnérabilités et attaques (basée sur les données de SecurityFocus) dans son article RSA de février 2002 : La sécurité en 2002 était pire qu’en 2001, dit l’exécutif. IIS a été attaqué 17 millions de fois, mais Apache n’a été attaqué que 12 000 fois. C’est une comparaison étonnante, puisqu’il y a environ deux fois plus de systèmes Apache sur Internet. En 2001, les systèmes Windows ont été attaqués 31 millions de fois et les systèmes Unix 22 millions de fois. Voir l’article pour plus d’informations.

Le Gartner Group recommande aux entreprises de passer de Microsoft IIS à Apache ou iPlanet en raison des piètres antécédents d’IIS en matière de sécurité, notant que les entreprises avaient dépensé 1,2 milliard de dollars simplement pour corriger les vulnérabilités du Code Rouge (liées aux SII) avant juillet 2001. L’IIS de Microsoft a un si mauvais dossier de sécurité qu’en septembre 2001, Gartner Group a annoncé une recommandation selon laquelle  » les entreprises touchées à la fois par Code Red et Nimda étudient immédiatement des alternatives à IIS, y compris le transfert des applications Web vers des logiciels de serveur Web d’autres fournisseurs tels que iPlanet et Apache. Bien que ces serveurs Web aient nécessité des correctifs de sécurité, ils ont de bien meilleurs dossiers de sécurité que IIS et ne sont pas attaqués activement par le grand nombre d’auteurs de virus et de vers. » Microsoft est parfois client du Gartner Group, cette annonce est donc particulièrement surprenante.

Dans un document d’information de Gartner, ils discutent plus en détail des impacts du Code Rouge. En juillet 2001, Computer Economics (une société de recherche) estimait que les entreprises du monde entier avaient dépensé 1,2 milliard de dollars pour corriger les vulnérabilités de leurs systèmes informatiques que Code Red pouvait exploiter (rappelez-vous que Code Red est conçu pour attaquer uniquement les systèmes IIS ; les systèmes comme Apache sont immunisés). Pour être juste, Gartner a fait remarquer à juste titre que le problème n’est pas seulement qu’IIS présente des vulnérabilités ; une partie du problème réside dans le fait que les entreprises qui utilisent IIS ne tiennent pas à jour leur sécurité informatique, et Gartner s’est ouvertement demandé pourquoi c’était le cas. Cependant, Gartner a également posé la question,  » pourquoi les produits logiciels de Microsoft continuent-ils à fournir des ouvertures facilement exploitables pour de telles attaques ? C’était prémonitoire, car peu de temps après, l’attaque « Nimba » a fait surface et a attaqué IIS, Microsoft Outlook, et d’autres produits Microsoft.

Un bref aparté s’impose ici. Le porte-parole de Microsoft, Jim Desler, a tenté de contrer la recommandation de Gartner, en la qualifiant d' » extrême  » et en affirmant que  » des failles de sécurité graves ont été trouvées dans tous les produits et plates-formes de serveurs Web… c’est un défi à l’échelle du secteur « . Bien que vrai, ce n’est pas toute la vérité. Comme le souligne Gartner, « IIS a beaucoup plus de failles de sécurité que d’autres produits et nécessite plus de soins et d’alimentation ». Il est judicieux de choisir le produit ayant les meilleurs antécédents en matière de sécurité, même si aucun produit n’a un dossier parfait.

Microsoft IIS est deux fois plus susceptible d’offrir des fonctions malveillantes, selon une étude Google réalisée en 2007. L’étude Web Server Software and Malware a révélé que « Microsoft IIS est deux fois plus susceptible de servir des fonctions malveillantes deux fois plus souvent (49% contre 23%) qu’un serveur de distribution de logiciels malveillants ». C’est parce qu’Apache a une part de marché beaucoup plus importante, mais parmi les serveurs équipés de logiciels malveillants, ils ont à peu près la même part de marché. Cela ne signifie pas nécessairement que les BSR sont plus vulnérables (bien que les données énumérées ailleurs appuient cette hypothèse), surtout parce qu’elles varient selon les pays. Au lieu de cela, les auteurs de cette étude soupçonnent que cela est dû au fait que « les mises à jour automatiques n’ont pas été activées en raison du piratage de logiciels (statistiques de piratage de NationMaster, et BSA), et deuxièmement, certains correctifs de sécurité ne sont pas disponibles pour les copies pirates des systèmes d’exploitation Microsoft. Par exemple, le patch pour un exploit ADODB.Stream n’est pas disponible pour les copies piratées des systèmes d’exploitation Windows. » Bref, parce qu’il coûte beaucoup plus cher d’acheter Windows et IIS que Linux et Apache, et que ces systèmes non autorisés ne sont pas en mesure d’obtenir la maintenance, de nombreux systèmes ne sont pas correctement entretenus.

La majorité des problèmes de sécurité les plus graves ne concernent que les produits Microsoft, et non les produits FLOSS, comme le suggèrent les « types d’incidents et de vulnérabilités de sécurité les plus fréquents et à fort impact » du CERT/CC et la base ICAT. Certaines vulnérabilités de sécurité sont plus importantes que d’autres, pour diverses raisons. Ainsi, certains centres d’analyse tentent de déterminer ce qui est « le plus important », et leurs résultats suggèrent que les FLOSS n’ont tout simplement pas autant de vulnérabilités.

Le Centre de coordination du CERT (CERT/CC) est financé par le gouvernement fédéral pour étudier les vulnérabilités en matière de sécurité et effectuer des activités connexes comme la publication d’alertes de sécurité. Le 24 septembre 2001, j’ai échantillonné la liste des « activités en cours » des incidents de sécurité et des vulnérabilités les plus fréquents et à fort impact, et j’ai trouvé encore plus de preuves que les produits Microsoft ont une faible sécurité par rapport aux autres (y compris les FLOSS). Quatre des six vulnérabilités de sécurité les plus importantes étaient spécifiques à Microsoft : W32/Nimda, W32/Sircam, corruption de cache sur les serveurs DNS Microsoft, et activités liées au « Code Red ». Un seul des six éléments concerne principalement des produits non-Microsoft (un débordement de tampon dans telnetd) ; bien que cette vulnérabilité soit importante, il est à noter que de nombreux systèmes open source (tels que Red Hat 7.1) n’activent normalement pas ce service (telnet) et sont donc moins susceptibles d’être vulnérables. Le sixième point ( » scans and probes « ) est une note générale sur le fait qu’il y a beaucoup de scanners et de sondes sur Internet, et qu’il y a de nombreuses vulnérabilités potentielles dans tous les systèmes. Ainsi, 4 des 6 problèmes sont des vulnérabilités à fort impact spécifiques à Microsoft, 1 des 6 sont des vulnérabilités affectant principalement les systèmes de type Unix (y compris les OS FLOSS), et 1 des 6 est un avis général sur le scan. Encore une fois, ce n’est pas que les produits FLOSS n’ont jamais de failles de sécurité – mais ils semblent en avoir moins.

Le système ICAT fournit un index consultable et un classement des vulnérabilités par CVE. J’ai échantillonné sa liste des dix premières le 19 décembre 2001 ; cette liste est définie par le nombre de demandes faites pour une vulnérabilité dans ICAT (et n’incluant que les vulnérabilités de l’année dernière). Dans ce cas, 8 des 10 principales vulnérabilités n’affectent que les systèmes propriétaires (dans tous les cas, Windows). Seulement 2 sur 10 affectent les systèmes FLOSS (#6, CAN-2001-0001, une faiblesse dans PHP-Nuke 4.4, et #8, CVE-2001-0013, une nouvelle vulnérabilité trouvée dans une ancienne version de BIND – BIND 4). Évidemment, cela ne prouve pas en soi qu’il y a moins de vulnérabilités sérieuses dans les programmes FLOSS, mais c’est une suggestion.

Une analyse des rapports de sécurité effectuée par Nicholas Petreley a révélé qu’un pourcentage beaucoup plus élevé de vulnérabilités Windows sont critiques par rapport à Red Hat Linux. En octobre 2004, l’article de Nicholas Petreley intitulé « Security Report : Windows vs Linux » (disponible en HTML ou PDF) a constaté que les vulnérabilités Windows sont beaucoup plus susceptibles d’être sérieuses que celles de Red Hat Linux. Il a examiné les 40 correctifs/vulnérabilités les plus récents répertoriés pour Microsoft Windows Server 2003 vs Red Hat Enterprise Linux AS AS v.3, tels que rapportés par le site Web de chaque fournisseur. Il a ensuite utilisé une métrique pour évaluer leur gravité, et selon cette mesure, 50% des vulnérabilités de Windows sont critiques, contre 10% pour Red Hat.

Il y a là un rebondissement intéressant ; Microsoft prétend que certaines vulnérabilités ne sont pas aussi graves tant qu’un administrateur ne modifie pas certains paramètres. Mais comme le note Petreley, « il est presque inconcevable que quiconque utilise Windows Server 2003 laisse les paramètres[Windows Server 2003]… inchangés. Ces paramètres rendent le navigateur Internet Explorer pratiquement inutilisable pour l’administrateur du serveur qui souhaite effectuer des tâches administratives basées sur le navigateur, télécharger des mises à jour, etc. Réduire le niveau de gravité en supposant que les utilisateurs de Windows Server 2003 laisseront ces paramètres par défaut tels qu’ils sont est une utopie, au mieux. » De plus, Microsoft présume que les « Utilisateurs » ne sont jamais des « Administrateurs », une hypothèse très douteuse sur un serveur Microsoft Windows. Si vous acceptez ces affirmations peu plausibles, le pourcentage tombe à 40%, ce qui est encore plus élevé que celui de Red Hat. Microsoft attribue ses propres niveaux de criticité (Red Hat ne le fait pas), mais même en utilisant le niveau de reporting de Microsoft, les choses sont pires ; 38% des programmes corrigés sont considérés comme critiques par Microsoft.

Il a également fait quelques analyses de la base de données du FORCCE ; bien que cette analyse soit plus limitée, elle suggère néanmoins que les vulnérabilités de Linux ont tendance à être moins graves.

L’article poursuit en s’opposant à ce qu’il appelle les « mythes ». Petreley soutient également que la raison de cette différence est que les systèmes basés sur Linux ont une bien meilleure conception de la sécurité que les systèmes Windows. Son argument de conception fait quatre déclarations : Les systèmes basés sur Linux sont basés sur une longue histoire de conception multi-utilisateurs bien étoffée, ils sont modulaires par leur conception (pas monolithique), ils ne sont pas limités par un modèle RPC (qui permet inutilement un contrôle externe des fonctions internes) et les serveurs Linux sont idéalement conçus pour une administration non locale sans tête.

Cette étude n’a pas tenté de déterminer combien de vulnérabilités critiques il y a eu globalement au cours de la même période, ce qui est une faiblesse de l’étude. Et Petreley est certainement un partisan des systèmes GNU/Linux. Néanmoins, ce rapport démontre de manière plausible qu’il existe une différence dans la conception et/ou le processus de développement qui rend les vulnérabilités GNU/Linux moins graves que celles de Microsoft Windows.

Les virus informatiques sont beaucoup plus répandus sur Windows que sur tout autre système. L’infection virale a été un coût majeur pour les utilisateurs de Microsoft Windows. On estime que le virus LoveLetter à lui seul a coûté 960 millions de dollars en coûts directs et 7,7 milliards de dollars en perte de productivité, et les ventes de l’industrie des logiciels antivirus totalisent près de 1 milliard de dollars par an. L’analyse de l’impact des logiciels libres du Dr Nic Peeling et du Dr Julian Satchell comprend une analyse des différentes sources de données pour le comptage des virus, notant la vulnérabilité disproportionnée des systèmes Windows. Voici ce qu’ils ont dit :

Les chiffres diffèrent en détail, mais toutes les sources s’entendent pour dire que les virus informatiques sont beaucoup plus répandus sur Windows que sur tout autre système. Il y a environ 60 000 virus connus pour Windows, environ 40 pour Macintosh, environ 5 pour les versions Unix commerciales et peut-être 40 pour Linux. La plupart des virus Windows ne sont pas importants, mais des centaines d’entre eux ont causé des dégâts considérables. Deux ou trois des virus Macintosh étaient suffisamment répandus pour être importants. Aucun des virus Unix ou Linux ne s’est répandu – la plupart étaient confinés au laboratoire.

Beaucoup ont remarqué qu’une des raisons pour lesquelles Windows est attaqué plus souvent est simplement parce qu’il y a tant de systèmes Windows en service. Windows est une cible attrayante pour les auteurs de virus simplement parce qu’il est dans une utilisation si répandue. Pour qu’un virus se propage, il doit se transmettre à d’autres ordinateurs sensibles ; en moyenne, chaque infection doit en causer au moins une autre. L’omniprésence des machines Windows facilite l’atteinte de ce seuil.

Il peut y avoir une raison plus sombre : il y en a beaucoup qui n’aiment pas les pratiques commerciales de Microsoft, et cela contribue peut-être au problème. Certaines des pratiques commerciales de Microsoft se sont avérées illégales devant les tribunaux, mais le gouvernement américain ne semble pas disposé à punir efficacement ces pratiques ou à y mettre fin. Certaines personnes connaissant l’informatique peuvent être en train d’exprimer leur frustration aux utilisateurs du produit Microsoft. C’est absolument faux et, dans la plupart des pays, illégal. Il est extrêmement contraire à l’éthique d’attaquer un utilisateur innocent d’un produit Microsoft simplement à cause des politiques de Microsoft, et je condamne un tel comportement. À ce stade, bien que cela ait fait l’objet de nombreuses spéculations, je n’ai trouvé aucune preuve qu’il s’agisse d’un facteur de motivation généralisé pour de véritables attaques. D’un autre côté, si vous choisissez des produits, voulez-vous vraiment choisir le produit contre lequel les gens pourraient avoir une vendetta ?

Cependant, les raisons données ci-dessus n’expliquent pas la vulnérabilité disproportionnée des produits Microsoft. Une explication plus simple et facile à prouver est que Microsoft a fait de nombreux choix de conception au fil des ans pour ses produits qui les ont rendus fondamentalement moins sûrs, ce qui a fait de ses produits une cible beaucoup plus facile que de nombreux autres systèmes. Même Craig Mundie, de Microsoft, a admis que ses produits étaient « moins sûrs qu’ils ne l’auraient pu » parce qu’ils « concevaient en pensant aux fonctionnalités plutôt qu’à la sécurité » – même si la plupart des gens n’utilisaient pas ces nouvelles fonctionnalités. Les exemples incluent l’exécution de macros de démarrage dans Word (même si les utilisateurs consultent régulièrement des documents développés par des sources non fiables), l’exécution de pièces jointes dans Outlook et l’absence de protection en écriture dans les répertoires système sous Windows 3.1/95/98. Cela peut s’expliquer par le fait que Microsoft a supposé dans le passé que les clients achèteront leurs produits, que Microsoft les sécurise ou non. Après tout, jusqu’à récemment, il y avait peu de concurrence, il n’était donc pas nécessaire de dépenser de l’argent pour des attributs « invisibles » tels que la sécurité. Il est également possible que Microsoft essaie encore de s’adapter à un monde basé sur Internet ; Internet ne se serait pas développé comme il l’aurait fait sans les systèmes de type Unix, qui supportent les standards Internet depuis des décennies, alors que Microsoft a ignoré Internet pendant de nombreuses années et a dû soudainement faire du « rattrapage » au début des années 1990. Microsoft a parfois prétendu qu’elle ne pouvait pas sécuriser ses produits parce qu’elle voulait s’assurer qu’ils étaient « faciles à utiliser ». S’il est vrai que certaines caractéristiques de sécurité peuvent rendre un produit plus difficile à utiliser, un produit sécurisé peut généralement être tout aussi facile à utiliser si les caractéristiques de sécurité sont soigneusement conçues dans le produit. En outre, qu’y a-t-il de si facile à utiliser dans un système qui doit être reformaté et réinstallé tous les quelques mois parce qu’un autre virus s’est introduit ? (Ce problème est d’autant plus grave que Microsoft prévoit d’exiger que les gens appellent Microsoft pour obtenir la permission de réinstaller simplement le système d’exploitation qu’ils ont acheté). Mais pour quelque raison que ce soit, il est manifestement vrai que les concepteurs de Microsoft ont pris dans le passé des décisions qui ont rendu la sécurité de leurs produits beaucoup plus faible que celle des autres systèmes. Microsoft a récemment déclaré qu’elle travaille dur pour améliorer la sécurité de ses produits ; j’ai l’espoir qu’elle s’améliorera, et je vois des signes encourageants, mais il faudra de nombreuses années pour vraiment sécuriser ses produits.

En revanche, s’il est possible d’écrire un virus pour les systèmes d’exploitation FLOSS, leur conception rend la propagation des virus plus difficile… montrant que les décisions de Microsoft en matière de conception n’étaient pas inévitables. Il semble que les développeurs de logiciels libres ont tendance à choisir des choix de conception qui limitent les dommages causés par les virus, probablement en partie parce que leur code est soumis à l’inspection et aux commentaires du public (et ridiculisé, si cela est mérité). Par exemple, les programmes FLOSS ne prennent généralement pas en charge les macros de démarrage contrôlées par l’attaquant, ni l’exécution facile des pièces jointes aux messages des attaquants. De plus, les principaux systèmes d’exploitation FLOSS (tels que GNU/Linux et les *BSDs) ont toujours eu une protection en écriture sur les répertoires système, ce qui rend plus difficile la propagation de certaines attaques. Une autre discussion sur les raisons pour lesquelles les virus ne semblent pas affecter significativement les systèmes FLOSS est disponible sur Roaring Penguin. Les systèmes FLOSS ne sont pas immunisés contre les codes malveillants, mais ils sont certainement plus résistants.

Les enquêtes indiquent que les systèmes GNU/Linux connaissent moins de virus et de fissures réussies. En juillet 2004, l’enquête d’Evans Data sur le développement de Linux de l’été 2004 a rapporté que 92% de leurs systèmes Linux n’ont jamais été infectés par un virus, et 78% que leurs systèmes Linux n’ont jamais été piratés (appelés « hacked » dans le rapport). Ceci contraste avec l’enquête du printemps 2004, où seulement 40% des utilisateurs non-Linux n’ont signalé aucune brèche de sécurité ; en effet, 32% des utilisateurs non-Linux ont subi trois brèches ou plus.

Selon une étude réalisée en juin 2004 par Sandvine, 80% des spams sont envoyés par des PC Windows infectés. 80% de tous les spams proviennent d’ordinateurs contaminés par des chevaux de Troie, selon une étude de la société de gestion de réseau Sandvine. Les chevaux de Troie et les vers avec des composants de porte dérobée transforment les PC infectés en drones dans de vastes réseaux de PC zombies compromis.

Sandvine a identifié des abonnés qui contournaient leurs serveurs de messagerie domestiques et qui communiquaient avec de nombreux serveurs de messagerie dans un court laps de temps sur des périodes prolongées, c’est-à-dire des spammeurs. Il a également examiné les messages d’erreur SMTP retournés pour clarifier le volume total de spam. Ils ont ensuite comparé ces données avec les messages qui transitent par le système de messagerie du fournisseur de services.

L’analyse préliminaire de Sandvine a montré que les chevaux de Troie les plus actifs à des fins de spamming sont les variantes Migmaf et SoBig ; notez qu’il s’agit d’attaques uniquement Windows. En effet, puisque presque tous les chevaux de Troie et les vers qui réussissent sont ceux qui attaquent les systèmes Windows, il semble que ce problème soit essentiellement dû aux systèmes Windows.

L’étude de la National Cyber Security Alliance de mai 2003 a rapporté que 91 % des utilisateurs de la large bande ont des logiciels espions sur leurs ordinateurs personnels qui utilisent des systèmes d’exploitation propriétaires ; en revanche, il n’y a aucune preuve que cela soit un problème pour les systèmes FLOSS. America Online, Inc. a réalisé une étude pour la National Cyber Security Alliance. Ses résultats, « Fast and Present Danger : In-Home Study on Broadband Security among American Consumers » (mai 2003) produisent des résultats intéressants, en particulier que « 91% des utilisateurs de large bande ont des logiciels espions qui se cachent dans leur ordinateur personnel ». Leur méthode d’étude ne semblait pas permettre la collecte de données à partir des systèmes FLOSS, et les logiciels espions sont de toute façon pratiquement inexistants sur les systèmes FLOSS.

Microsoft a eu beaucoup plus de vulnérabilités que n’importe qui d’autre, selon SecurityTracker. Le document SecurityTracker Statistics (mars 2002) analyse les vulnérabilités d’avril 2001 à mars 2002. Ils ont identifié 1595 rapports de vulnérabilité, couvrant 1175 produits de 700 fournisseurs. Leur analyse a révélé que Microsoft avait plus de vulnérabilités que n’importe qui d’autre (187, ou 11,7% de toutes les vulnérabilités), et plus de quatre fois le fournisseur suivant. Les autres en importance étaient Sun (42, 2,6 % du total), HP (40, 2,5 %) et IBM (40, 2,5 %). Seuls les vendeurs de FLOSS ont fait beaucoup mieux : l’Apache Software Foundation en avait 13 (0,8% du total), et Red Hat en avait 10 (0,6% du total). On peut soutenir que Microsoft vend plus de types de logiciels que la plupart des autres fournisseurs, mais il s’agit néanmoins d’un nombre étonnamment élevé de vulnérabilités. L’écart entre Microsoft et tous les autres s’est creusé au cours du second semestre de l’année, ce qui est encore plus effrayant.