Bonjour,
je suis d'accord avec tout ce qui t'a été déjà répondu, et je vais juste ajouter une note à propos des ordinateurs de bureau, car c'est là que je suis à l'aise. Je ne connais pas assez les réseaux, quand aux systèmes Windows avec serveur et Active Directory, c'est un territoire que je n'ai pas exploré.
Sous Windows, dans un PC classique à la maison ou dans une petite entreprise, par défaut :
- le premier utilisateur est administrateur sans mot de passe, il a tous les droits ;
- les fichiers et dossiers sont tous au même niveau pour les droits et permissions l'utilisateur peut donc saccager tout son système facilement, sans que rien ne l'en empêche ;
- tous les fichiers et dossiers sont exécutables, il n'y a aucune discrimination entre eux, donc n'importe quel fichier arrivant par clé USB, mail ou autre source qui contient un code malicieux (y compris des photos, des pdf, etc.) pourra être exécuté en même temps que le fichier sera exécuté pour être affiché.
Sous Linux, dans un PC classique à la maison ou dans une petite entreprise, du moment qu'il s'agit d'un système dédié à l'utilisation (donc excluons ceux qui sont prévus pour le dépannage, le diagnostic, etc.) par défaut :
- le premier utilisateur est un simple utilisateur avec un mot de passe lui permettant de gagner des privilèges administrateur lorsque cela est nécessaire pour des opérations d'administration. Il aura alors tous les droits et les responsabilités qui vont avec - en usage normal, il n'a de droits, sans usage du mot de passe, que sur les fichiers et dossiers de son répertoire personnel;
- les fichiers et dossiers sont tous à un niveau différent pour les droits et permissions l'utilisateur ne peut donc saccager tout son système facilement, il lui faut faire un effort particulier pour y parvenir ;
- Dans son répertoire personnel, (/home/utilisateur), les fichiers sont en -rw-r--r-- (en fait 644 ou au plus 664), les dossiers sont le plus souvent en d-rwx-r-x-r-x (en fait 755 ou au plus 775, donc accessibles pour l'utilisateur, en lecture/écriture)
Une page très bien faite pour comprendre les droits et permissions sous Linux:
lea-linux.org/documentations/Admin-admin_env-pe...
cela détaille les droits type d'utilisateur par type d'utilisateur : le propriétaire, le groupe, et "les autres", les droits d'accès, de lecture, d'écriture, pour chacun d'entre eux, ainsi que les permissions spéciales dénommées ACL qui peuvent être utilisées en plus des permissions de base, lea-linux.org/documentations/ACL
Quand à SELinux, il y a eu récemment une alerte de sécurité, avec à la clé une mise à jour du noyau disponible dès avant le lancement de l'alerte.
En quoi un système Linux est vulnérable, ou "les choses à ne pas faire": le mot de passe des utilisateurs est trop faible, l'utilisateur qui a les droits affaibli parfois son système en changeant les permissions sur des dossiers ou fichiers de manière inadéquate, ou encore il se connecte en mode administrateur avec les droits root à une session graphique (login root, avec mot de passe administrateur), donnant ainsi tous les privilèges à tous les processus, toutes les applications. Cela pose un problème de sécurité important, car un programme qui a une faille de sécurité qui peut être sans conséquence en espace utilisateur va créer rapidement des dysfonctionnements dans le système et l'ouvrir aux attaques.
Cela me fait aussi penser à une ligne de commande malheureusement trop répandue dans les documentations sur internet, laquelle est apparue avec l'arrivée de Ubuntu, fin 2004. C'est "sudo gedit <ici, un fichier du système d'exploitation à éditer>". Gedit est une application graphique, sudo la commande qui fournit à l'application une élévation de ses privilèges. Cette infortunée ligne de commande a tendance à changer des permissions sur certains fichiers, sans que l'on sache nécessairement où. La bonne pratique consiste à utiliser une application graphique avec les droits de l'utilisateur, et une application en mode texte pour l'édition de fichiers nécessitant des droits d'administration.
En quoi un système Linux peut être encore renforcé par rapport à un système Linux courant, par exemple, pour être employé dans une entreprise ou une administration où l'on souhaite avoir un degré de sécurité plus élevé : il existe des interfaces texte ou graphiques pour renforcer le pare-feu implémenté dans le noyau, ainsi que des IDS (logiciels de détection d'intrusion), entre autres choses. Je ne suis pas du tout spécialisée là dedans, tu trouveras plein de documentations avec des détails sur le web. (buffer overflow, virus de bios… )
À noter que certains groupware ne sont pas sécurisants, et que l'usage du html dans les mails est fâcheux, et pas uniquement pour les principes écologiques. Il peut se glisser des codes malicieux dans du html.