[Facil] Demande de soutien

[Jerome Charaoui]

Salut,

J'ai eu à répondre à des questionnements du genre à mon travail. Selon
moi il n'est pas nécessaire de consulter des experts pour expliquer
comment la communauté du libre s'assure de la sécurité de leur code, il
s'agit d'en connaître les principes.

Dans le domaine des logiciels propriétaires, on vante le modèle
"sécurité par l'obscurité" ou en anglais, "security through obscurity".
Dans ce modèle, les vendeurs de logiciels affirment que la sécurité de
leur logiciel est supérieure justement parce que le code source est
fermé. On a pas le choix que de se fier à leur mot, car il n'y a aucun
moyen pour quiconque de l'extérieur de valider cette affirmation. « Nos
experts en sécurité on tout prévu », nous assure-t-on.

Pourtant, des failles sont quand même régulièrement découvertes dans des
logiciels propriétaires, même par des individus ou organisations qui
n'ont pas accès au code source. Windows, Flash, Internet Explorer
doivent régulièrement être mis à jour avec des patches pour "boucher les
trous".

Avec le logiciels libre, c'est plutôt le principe de la sécurité par la
transparence, ou en anglais "many-eyeballs". Le fait que le code source
soit ouvert permet à n'importe qui d'évaluer le code source pour
s'assurer qu'il est sécuritaire. Si une faille est découverte par un
observateur malicieux, elle est également découvrable par de nombreux
autres observateurs bénévolants. De plus, un développeur qui voudrait
secrètement insérer un "back-door" ou une faille dans le code source
d'un programme (un crainte souvent exprimée) aurait la tâche très
difficile car aucun projet libre sérieux n'inclut des modifications au
code sans que celles-ci soient validées par la communauté de
développeurs, où la tentative serait rapidement découverte et bloquée.

Ce dernier argument est intéressant car il nous amène aussi à constater
que l'insertion d'un "back-door" maléfique dans un logiciel serait
quelque chose de probablement bien plus facile à faire dans le contexte
d'un logiciel propriétaire. À mon avis, les malfaiteurs les plus
prolifiques sont ceux qui agissent derrière des portes closes, à l'abri
des regards, tout en insistant qu'on leur accorde notre confiance...

Pour appuyer tout ça, il s'agit simplement de regarder quels logiciels
sont les plus populaires au niveau de l'infrastructure d'Internet même.
Apache (HTTP), Bind9 (DNS), MySQL (BD), SSH (Shell),
Sendmail/Postfix/Qmail/Exim (SMTP) sont tous des logiciels libres et
pourtant on se fie sur eux carrément pour faire fonctionner l'Internet,
qui est probablement un des environnements informatiques les plus
hostiles sur la planète (juste après les conférences de hackers :)

J'espère que ça aide un peu, et désolé pour l'absence de références dans
le texte.

-- Jérôme Charaoui


grizzou wrote:
> Bonjour,
> 
> Je travaille pour une organisation parapublique québécoise et je suis
> fervent utilisateur de logiciels libres (Ubuntu à la maison, Framakey
> ailleurs). Mais vous savez ce que c'est, les organisations québécoises
> sont en cours d'évolution à ce propos...
> 
> Une des problématiques que je rencontre lorsque je discute de logiciels
> libres au travail, c'est la crainte de la sécurité. On a souvent peur
> que «code source ouvert» signifie «porte ouverte pour faire ce qu'on
> veut dans notre organisation». N'ayant que peu de connaissances
> techniques, je suis moi-même mal outillé pour répondre aux
> interrogations qui sont parfois soulevées. J'arrive bien entendu à
> parler de «communauté libre», des principes de soutien et d'aide qui
> accompagnent ces communautés et nous avons même certaines personnes en
> mesure de pouvoir articuler un discours au sujet de la «rentabilité du
> libre». Ce qui nous manque, je crois, ce serait quelqu'un capable
> d'articuler un discours cohérent et convainquant autour de la sécurité
> informatique des logiciels libres.
> 
> Le but n'est pas de cacher des réalités. Il est préférable de
> reconnaître les contraintes et limites de certains projets logiciels
> libres, mais il faut par la même occasion arriver à présenter des
> exemples qui fonctionnent et qui sont effectivement sécuritaires...
> 
> Si quelqu'un se sent capable de ce type de discussion et d'intervention
> dans la communauté FACIL, je serais intéressé à l'entendre... et
> d'autres aussi seraient intéressés.
> 
> À noter, il faut être prêt à dépasser rapidement les généralités qu'on
> entend sur certains sites du genre «Linux c'est plus sécuritaire parce
> que c'est pas Window$». Ça ne convaincra pas grand monde dans
> l'organisation où je travaille...
> 
> Au plaisir de vous lire à ce propos!
> 
> Jean-François Dragon
> grizzou at gmail.com <mailto:grizzou at gmail.com>
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> forum mailing list
> forum at facil.qc.ca
> https://listes.koumbit.net/cgi-bin/mailman/listinfo/forum-facil.qc.ca