[Facil] Demande de soutien

[Sebastien Carrillo]

Bonjour,

La réponse de Jérome est très claire.
J'ajouterais deux points en faveur du logiciel libre en matière de
sécurité qui me semble important.

Le premier est que le fait que le code source soit ouvert et que de
nombreux relecteurs puissent en évaluer la sécurité entraine que la
qualité du code est nécessairement supérieure. Les programmeurs qui font
du code "cochon" se font virer des projets. De plus, ils s'appuient
souvent sur de librairies libres qui elles ont été éprouvées depuis très
longtemps.

Le deuxième et non des moindres et que les failles qui sont découvertes
dans un logiciel libre sont patchées très rapidement. Dans le monde du
logiciel propriétaire, l'éditeur choisit le moment auquel il juge
nécessaire d'apporter le correctif, s'il le juge nécessaire. Et tant
qu'il n'a pas décidé de le faire, l'ensemble des systèmes restent
vulnérables.

Pour finir voici un lien vers une étude suisse qui fait un résumé assez
intéressant : http://is.gd/4XUgk

Salutations,
Sébastien Carrillo
-- 
Consultation Logiciels Libres - Open Source Software Consulting
-- 
Gestion de projets / Infrastructures réseau / Impartition / Sécurité
Conseil / Migration de systèmes et accompagnement / Formation Linux
Hébergement internet (ferme de serveurs) / Anti-virus et anti-spam
---
Certifié Linux Professional Institute - LPIC-1 ID# LPI000082954
---
La Tete Chercheuse - Montréal, Qc -  http://www.tetechercheuse.ca
http://twitter.com/opensmooth - http://identi.ca/opensmooth



Le mercredi 18 novembre 2009 à 00:21 -0500, Jerome Charaoui a écrit :
> Salut,
> 
> J'ai eu à répondre à des questionnements du genre à mon travail. Selon
> moi il n'est pas nécessaire de consulter des experts pour expliquer
> comment la communauté du libre s'assure de la sécurité de leur code, il
> s'agit d'en connaître les principes.
> 
> Dans le domaine des logiciels propriétaires, on vante le modèle
> "sécurité par l'obscurité" ou en anglais, "security through obscurity".
> Dans ce modèle, les vendeurs de logiciels affirment que la sécurité de
> leur logiciel est supérieure justement parce que le code source est
> fermé. On a pas le choix que de se fier à leur mot, car il n'y a aucun
> moyen pour quiconque de l'extérieur de valider cette affirmation. « Nos
> experts en sécurité on tout prévu », nous assure-t-on.
> 
> Pourtant, des failles sont quand même régulièrement découvertes dans des
> logiciels propriétaires, même par des individus ou organisations qui
> n'ont pas accès au code source. Windows, Flash, Internet Explorer
> doivent régulièrement être mis à jour avec des patches pour "boucher les
> trous".
> 
> Avec le logiciels libre, c'est plutôt le principe de la sécurité par la
> transparence, ou en anglais "many-eyeballs". Le fait que le code source
> soit ouvert permet à n'importe qui d'évaluer le code source pour
> s'assurer qu'il est sécuritaire. Si une faille est découverte par un
> observateur malicieux, elle est également découvrable par de nombreux
> autres observateurs bénévolants. De plus, un développeur qui voudrait
> secrètement insérer un "back-door" ou une faille dans le code source
> d'un programme (un crainte souvent exprimée) aurait la tâche très
> difficile car aucun projet libre sérieux n'inclut des modifications au
> code sans que celles-ci soient validées par la communauté de
> développeurs, où la tentative serait rapidement découverte et bloquée.
> 
> Ce dernier argument est intéressant car il nous amène aussi à constater
> que l'insertion d'un "back-door" maléfique dans un logiciel serait
> quelque chose de probablement bien plus facile à faire dans le contexte
> d'un logiciel propriétaire. À mon avis, les malfaiteurs les plus
> prolifiques sont ceux qui agissent derrière des portes closes, à l'abri
> des regards, tout en insistant qu'on leur accorde notre confiance...
> 
> Pour appuyer tout ça, il s'agit simplement de regarder quels logiciels
> sont les plus populaires au niveau de l'infrastructure d'Internet même.
> Apache (HTTP), Bind9 (DNS), MySQL (BD), SSH (Shell),
> Sendmail/Postfix/Qmail/Exim (SMTP) sont tous des logiciels libres et
> pourtant on se fie sur eux carrément pour faire fonctionner l'Internet,
> qui est probablement un des environnements informatiques les plus
> hostiles sur la planète (juste après les conférences de hackers :)
> 
> J'espère que ça aide un peu, et désolé pour l'absence de références dans
> le texte.
> 
> -- Jérôme Charaoui
> 
> 
> grizzou wrote:
> > Bonjour,
> > 
> > Je travaille pour une organisation parapublique québécoise et je suis
> > fervent utilisateur de logiciels libres (Ubuntu à la maison, Framakey
> > ailleurs). Mais vous savez ce que c'est, les organisations québécoises
> > sont en cours d'évolution à ce propos...
> > 
> > Une des problématiques que je rencontre lorsque je discute de logiciels
> > libres au travail, c'est la crainte de la sécurité. On a souvent peur
> > que «code source ouvert» signifie «porte ouverte pour faire ce qu'on
> > veut dans notre organisation». N'ayant que peu de connaissances
> > techniques, je suis moi-même mal outillé pour répondre aux
> > interrogations qui sont parfois soulevées. J'arrive bien entendu à 
> > parler de «communauté libre», des principes de soutien et d'aide qui
> > accompagnent ces communautés et nous avons même certaines personnes en
> > mesure de pouvoir articuler un discours au sujet de la «rentabilité du
> > libre». Ce qui nous manque, je crois, ce serait quelqu'un capable
> > d'articuler un discours cohérent et convainquant autour de la sécurité
> > informatique des logiciels libres.
> > 
> > Le but n'est pas de cacher des réalités. Il est préférable de
> > reconnaître les contraintes et limites de certains projets logiciels
> > libres, mais il faut par la même occasion arriver à présenter des
> > exemples qui fonctionnent et qui sont effectivement sécuritaires...
> > 
> > Si quelqu'un se sent capable de ce type de discussion et d'intervention
> > dans la communauté FACIL, je serais intéressé à l'entendre... et
> > d'autres aussi seraient intéressés.
> > 
> > À noter, il faut être prêt à dépasser rapidement les généralités qu'on
> > entend sur certains sites du genre «Linux c'est plus sécuritaire parce
> > que c'est pas Window$». Ça ne convaincra pas grand monde dans
> > l'organisation où je travaille...
> > 
> > Au plaisir de vous lire à ce propos!
> > 
> > Jean-François Dragon
> > grizzou at gmail.com <mailto:grizzou at gmail.com>
> > 
> > 
> > ------------------------------------------------------------------------
> > 
> > _______________________________________________
> > forum mailing list
> > forum at facil.qc.ca
> > https://listes.koumbit.net/cgi-bin/mailman/listinfo/forum-facil.qc.ca
> _______________________________________________
> forum mailing list
> forum at facil.qc.ca
> https://listes.koumbit.net/cgi-bin/mailman/listinfo/forum-facil.qc.ca
> 
> ******* Devez-vous vraiment imprimer ce courriel?
> 		Do you really need to print this email? *******
> 
> -- 
> This message has been scanned for viruses and dangerous content by
> MailScanner, and is believed to be clean.
-- 
Consultation Logiciels Libres - Open Source Software Consulting
-- 
Gestion de projets / Infrastructures réseau / Impartition / Sécurité
Conseil / Migration de systèmes et accompagnement / Formation Linux
Hébergement internet (ferme de serveurs) / Anti-virus et anti-spam
---
Certifié Linux Professional Institute - LPIC-1 ID# LPI000082954
---
La Tete Chercheuse - Montréal, Qc -  http://www.tetechercheuse.ca
eXperts-libre - http://www.experts-libre.com/sebastien.carrillo



******* Devez-vous vraiment imprimer ce courriel?
		Do you really need to print this email? *******

-- 
This message has been scanned for viruses and dangerous content by
MailScanner, and is believed to be clean.
-- 
Ce message a été vérifié par MailScanner (virus ou pourriels) et
rien de suspect n'a été décelé.
--
http://www.tetechercheuse.ca
--