Aujourd'hui, nous sommes un peu impuissants (surtout un certain F. R*nal par son grand age) face aux vulnérabilités clients : chaque semaine, une nouvelle faille sort dans Firefox, Thunderbird, Gaim, Skype, etc.
Tout le monde est potentiellement vulnérable (sisisi, même les gens sous Lynx) en cas d'attaque ciblée. Quelles sont les solutions ?

Mettre en oeuvre un système PaXé sur une machine orientée desktop est contraignant : tous les logiciels pas libres (comme le plugin flash propriétaire) vont commencer à segfaulter en permanence et on va finir par whitelister tous les binaires posant problème : on ne fait que déplacer le problème.
De plus, je ne suis même pas sûr que les vulnérabilités de Firefox seraient détectées (par exemple lorsque ça touche le moteur Javascript).

À défaut d'avoir une solution protégeant les applications, il faut essayer de minimiser l'impact d'une vulnérabilité. Ainsi, SELinux apporte une solution concrète et fiable : on applique à chaque application une politique de sécurité, on déclare ainsi toutes les actions que ce processus peut faire. L'exemple classique (limite bidon) sorti tout le temps est que Mozilla Firefox ne doit pas avoir accès à /bin/sh par exemple, je dis bidon car un attaquant déterminé pourra toujours s'en sortir en ajoutant une backdoor dans ~/.bashrc, cela marcherait car Firefox peut sauvegarder ses fichiers n'importe où!

Pourquoi ce n'est pas plus populaire que ça ? Car les distributions n'étaient pas très ouvertes à son entrée : il faut écrire les règles, gérer celles-ci lorsqu'on installe/supprime le logiciel, tester, etc.

Pour Debian, l'idée commence à germer dans la tête des développeurs qui aimeraient bien voir SELinux activé par défaut dans la future release de la distribution. C'est un très bonne nouvelle si ca marchait tout seul pour les paquets les plus populaires (navigateur et messagerie instantannée).