Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Assiste.com : Open Source Initiative


Un logiciel « Open Source », ou à « Code source ouvert », ou à « Logiciel à code source ouvert », ou à « Code ouvert » est un code informatique (un logiciel, un script, une application informatique…) dont le code ayant servi à l'écrire, le code source (écrit dans n'importe quel langage de programmation : C, C++, Java, JavaScript, PHP, Kotlin, Cobol, Fortran, Assembleur, C#, Swift, Basic, Python, etc.) est public (publié), à l'inverse d'un logiciel « Propriétaire », dont le code source est maintenu secret et peut contenir des bugs et, surtout, des mécanismes d'espionnage ou de malveillances.

La confiance que l'on peut accorder à un code informatique, et, à fortiori à un logiciel de sécurité, ne peut être garantie que par l'ouverture de son « code source ». Un outil, dont les outils de sécurité, ne doit pas, lui-même, ajouter une incertitude quant au niveau général de sécurisation d'un système. Mais il existe aussi, dans le monde économique de l'informatique comme dans tous les autres mondes économiques, le secret industriel. C'est totalement compréhensible, mais cela est et reste suspicieuse et entretient cette image du Web en tant que monde trompeur et menteur).



La notion de « logiciel gratuit » (Freeware - Gratuiciel) n'a strictement rien à voir avec la notion d'Open Source. Un logiciel peut être gratuit mais son code est propriétaire.

L'Open Source ne signifie pas la gratuité des logiciels mais permet à tout un chacun ayant les connaissances suffisantes pour lire le code, de s'assurer qu'aucun dispositif non documenté n'exécute des fonctions cachées. Si quelqu'un a les compétences nécessaires et suffisantes, il peut copier le code source et se débrouiller avec. Un utilisateur final peut acquérir auprès d'une société d'informatique, une version « clé en main », commerciale (payante), de ce même logiciel. Toutes les versions de Linux sont « Open Source », mais toutes les versions d'entreprise sont commerciales.



L'Open source peut, à la discrétion de l'auteur du code, adhérer à une licence de logiciel qui respecte des critères précisément établis par l'Open Source Initiative, qui impose l'accès au code source, la libre redistribution de ce code, et la possibilité de créer des travaux dérivés.

  1. On peut développer un code source et le rendre public avec la licence que l'on veut, y compris pas de licence du tout.
  2. Celui qui développe à partir d'un code source public ne doit pas être enfermé dans un système où ses travaux dérivés doivent être Open source également.

Le problème posé par la licence GPL.

Le problème est celui posé par la licence GPL, souvent utilisée : Aucune administration, aucun État, aucun corps constitué, aucun grand compte (grandes industries, commerces, etc. ...) et même les petits développeurs, ne partira sur une base Open Source si ses travaux dérivés (ses secrets) doivent, contractuellement, être également rendus publics. Pour être plus précis, c'est l'obligation de déploiement public des codes sources des travaux dérivés de travaux Open source soumis à la licence GPL qui pose problème : dans la licence GPL, les travaux dérivés héritent obligatoirement de la licence GPL et doivent être Open Source eux aussi. Cette forme de déploiement de la licence GPL, qui saute d'un produit à un produit dérivé, est un cancer qui se métastase partout et freine l'Open Source, lui porte un tort considérable. C'est assimilable à une progression de type vers (virus de type Worm).

Que les « petits » développeurs veuillent, pour une raison qui leur est personnelle, attacher leur nom à un développement s'appuyant sur des briques logiciels en Open Source et rendre public leurs modifications, est une chose (correction d'une erreur dans la brique, ajout de nouvelles fonctionnalités, etc. ...). Qu'une banque ou un ministère s'appuie sur des briques Open Source pour développer une application maison, est totalement autre chose et ce développement doit pouvoir rester « maison » sinon il ne s'appuiera pas sur de l'Open Source (et c'est la voie royale aux produits propriétaires).

Donc on a :

  • D'un côté, Richard Stallman qui conduit le mouvement Open Source à héritage Open Source obligatoire (licence GPL).
  • De l'autre côté, on a des Éric Raymond et d'autres qui fustigent cette obligation d'héritage de la GPL et recommandent d'autres licences comme les licences MIT/X11, BSD et Apache.

La question fondamentale qui se pose est : est-ce qu'un travail dérivé doit obligatoirement hériter des quatre libertés qui définissent l'Open Source

  1. droit d'exécuter le logiciel, quel qu'en soit l'usage
  2. droit d'étudier le code source (pas besoin de reverse ingénierie illégale)
  3. droit de redistribution du logiciel open source d'origine
  4. droit de modifier le code source d'origine et d'en distribuer ces versions modifiées (ce dernier point, dans la licence GPL, est une obligation - le droit devient un devoir).



Une incertitude (devenu une certitude depuis les révélations feuilletonnées d'Edward Snowden), et cela ne date pas d'hier, est la présence de backdoor (portes dérobées) dans quasiment tous les logiciels à code source propriétaire des grands éditeurs, et de dispositifs permettant de casser le chiffrement (cryptage) de tous les logiciels de communication (par exemple, découvert dès 1996, Lotus Notes - Lotus Domino). L'Open source permet de lever cette incertitude. C'est la raison pour laquelle les administrations et offices gouvernementaux migrent, lentement mais sûrement, vers l'Open Source, et abandonnent les solutions « propriétaires ».



Le gargarisme du terme Open Source peut entraîner de grave troubles de la santé mentale !

Le fait que le logiciel de gestion Bitcoin soit Libre et Open Source induit en erreur en laissant entendre qu'il n'y a pas d'entourloupe possible. Mais en quoi l'étalage de la mécanique d'un système permet-elle au couillon de comprendre ce qu'il peut en être fait ? Lisez le document expliquant et tentant de convaincre d'utiliser une chaîne pyramidale. Toute la mécanique est expliquée ! Les couillons ne comprennent pas, au contraire, ils sont convaincus !

Le fait que le navigateur Internet Google Chrome s'appuie sur un brique Open Source (Chromium) ne signifie absolument pas que Google Chrome soit Open Source. C'est l'un des dispositif d'espionnage de Google les plus propriétaire et secret, l'un des plus intrusif. D'ailleurs, les clauses que l'on doit accepter lors de l'installation de Google Chrome comprenne l'interdiction de faire de la rétro-ingénierie de Google Chrome !



L'Open Source est la principale contre-mesure à des intrusions comme celles de la NSA, dans tous les systèmes informatiques du monde, afin d'assurer la domination des États-Unis d'Amérique, en termes politiques, économiques et technologiques. La Russie pratique la même chose avec ses FSB, SVR, FAPSI, GRU, Spetsnaz... Bien des pays du monde ont des dispositifs de même nature, dont la France et ses extraordinaires territoires tout autour de la planète Terre. L'usage de « clouds », pour l'utilisateur, permet la mobilité, mais, souvent, à quel prix ! Les « clouds » sont nébuleux. Ces dispositifs de stockage massif d'informations numériques (ces « centres de calcul ») sont disposés dans des pays étrangers, voire sous la mer pour des questions de refroidissement, avec des législations opaques aux nôtres, etc. Les « clouds » font une promotion forte de leurs services sans jamais garantir la confidentialité totale et inviolable des données dont on leur confie le stockage et la garde.



  • Open source software