La sécurité est un domaine souvent mis en avant lorsque l’on évoque les avantages associés au logiciel libre. Cet aspect suscite de nombreuses controverses et les études qui y sont consacrées ne permettent pas d’apporter un point de vue définitif sur la question.
Le but de ce document est de porter un regard nuancé sur le lien entre sécurité et logiciel libre en se référant à l’avis de quelques experts dans le domaine.
Étudier les solutions de Sandboxing disponibles sur le marché et établir des recommandations et bonnes pratiques de solutions de détection proactive de menaces avancées.
Étudier les solutions de Sandboxing disponibles sur le marché et établir des recommandations et bonnes pratiques de solutions de détection proactive de menaces avancées.
Montréal Métropole Numérique - Atelier 4 - 8 mars - Living Lab de Montréal -...TechnoMontréal
Présentation de Mme. Louise Guay, Présidente du Living Lab de Montréal lors de l'atelier 4 de Montréal Métropole Numérique lors de l'atelier 4 de Montréal Métropole Numérique.
We are a an independent idea consultancy specialising in Designing Innovation Ecosystems, Brand Experiences, and Brand Engagements with employees and customers. We partner with organisations in their effort to bring commonality in their internal brand and external brand (communication delivery and service delivery) to build a branded experience and innovative thinking across all touch points.
At Think Simplr we audit, evaluate and design a branded ecosystem that enables organisations to converse with clarity and connect with consistency with all stakeholders - current and future.
Our Contact details-
raman@thinksimplr.com
How to Make Awesome SlideShares: Tips & TricksSlideShare
Turbocharge your online presence with SlideShare. We provide the best tips and tricks for succeeding on SlideShare. Get ideas for what to upload, tips for designing your deck and more.
SlideShare is a global platform for sharing presentations, infographics, videos and documents. It has over 18 million pieces of professional content uploaded by experts like Eric Schmidt and Guy Kawasaki. The document provides tips for setting up an account on SlideShare, uploading content, optimizing it for searchability, and sharing it on social media to build an audience and reputation as a subject matter expert.
Un écosystème collaboratif open source et zerotrust dans le cloud public, est...Open Source Experience
Aujourd'hui, nous constatons que la vulnérabilité des systèmes informatique réside dans le fait que les données stockées sur des infrastructures centrales sont accessibles et manipulables par des tiers de confiance. La nécessité de concevoir les systèmes sur une architecture open source d’infrastructures décentralisés donc zerotrust s’impose pour garantir la sécurité des données sensibles dans le cloud public.
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
La sécurité de l'information est souvent négligée dans les entreprises. Pourtant, elle intervient dans presque tous les domaines de gestion d'une organisation.
En effet, les informations dont disposent les entreprises sont de plus en plus gérées par des systèmes informatiques développés par des ingénieurs en Génie Logiciel. Ceux-ci doivent prendre en considération des mesures afin de protéger les données traitées par les applications développées.
La plupart des développeurs dans le contexte africain ne réalisent pas la place importante qu'ils occupent dans la sécurisation d'un système d'information.
Le Google Developer Group Abidjan a regroupé des jeunes développeurs afin de les instruire sur différents sujets en rapport avec leur domaine.
Le GDG a jugé important de leur présenter la sécurité des développements afin qu'ils puissent se familiariser aux différentes notions.
La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’insécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux
organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences.
Le risque en matière de cybersécurité est désormais clairement commercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer.
docTrackr Inc. - This Year's Les Assises Innovation Prize Recipient. docTrackr
Sit back, relax and enjoy this presentation about docTrackr, an innovative security company and recent recipient of the Les Assises Security Prize - the most prestigious security award in Europe.
Webinaire Civic Tech : Pourquoi l'open source devient-il la norme pour les dé...Open Source Politics
Un logiciel open source est un logiciel dont le code source est ouvert. Le mouvement qui s’est formé autour de ce choix technologique prend de plus en plus d’ampleur dans notre société en général, et dans le secteur de la participation citoyenne en particulier.
Un projet de migration antivirus
ne présente pas de complexité
particulière. Il serait pourtant
mensonger de dire que migrer se fait
en un claquement de doigts. Comme
tout projet, la migration demande
de la préparation, de la planification
et de l’investissement humain. On
ne change donc pas d’antivirus sans
raison valable mais quand la nécessité
l’impose, l’enjeu et l’envol en valent la
chandelle.
Nos solutions de protection F-Secure : http://www.nrc.fr/nos-solutions-infra/securite-informatique/
Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau.
Montréal Métropole Numérique - Atelier 4 - 8 mars - Living Lab de Montréal -...TechnoMontréal
Présentation de Mme. Louise Guay, Présidente du Living Lab de Montréal lors de l'atelier 4 de Montréal Métropole Numérique lors de l'atelier 4 de Montréal Métropole Numérique.
We are a an independent idea consultancy specialising in Designing Innovation Ecosystems, Brand Experiences, and Brand Engagements with employees and customers. We partner with organisations in their effort to bring commonality in their internal brand and external brand (communication delivery and service delivery) to build a branded experience and innovative thinking across all touch points.
At Think Simplr we audit, evaluate and design a branded ecosystem that enables organisations to converse with clarity and connect with consistency with all stakeholders - current and future.
Our Contact details-
raman@thinksimplr.com
How to Make Awesome SlideShares: Tips & TricksSlideShare
Turbocharge your online presence with SlideShare. We provide the best tips and tricks for succeeding on SlideShare. Get ideas for what to upload, tips for designing your deck and more.
SlideShare is a global platform for sharing presentations, infographics, videos and documents. It has over 18 million pieces of professional content uploaded by experts like Eric Schmidt and Guy Kawasaki. The document provides tips for setting up an account on SlideShare, uploading content, optimizing it for searchability, and sharing it on social media to build an audience and reputation as a subject matter expert.
Un écosystème collaboratif open source et zerotrust dans le cloud public, est...Open Source Experience
Aujourd'hui, nous constatons que la vulnérabilité des systèmes informatique réside dans le fait que les données stockées sur des infrastructures centrales sont accessibles et manipulables par des tiers de confiance. La nécessité de concevoir les systèmes sur une architecture open source d’infrastructures décentralisés donc zerotrust s’impose pour garantir la sécurité des données sensibles dans le cloud public.
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
La sécurité de l'information est souvent négligée dans les entreprises. Pourtant, elle intervient dans presque tous les domaines de gestion d'une organisation.
En effet, les informations dont disposent les entreprises sont de plus en plus gérées par des systèmes informatiques développés par des ingénieurs en Génie Logiciel. Ceux-ci doivent prendre en considération des mesures afin de protéger les données traitées par les applications développées.
La plupart des développeurs dans le contexte africain ne réalisent pas la place importante qu'ils occupent dans la sécurisation d'un système d'information.
Le Google Developer Group Abidjan a regroupé des jeunes développeurs afin de les instruire sur différents sujets en rapport avec leur domaine.
Le GDG a jugé important de leur présenter la sécurité des développements afin qu'ils puissent se familiariser aux différentes notions.
La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’insécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux
organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences.
Le risque en matière de cybersécurité est désormais clairement commercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer.
docTrackr Inc. - This Year's Les Assises Innovation Prize Recipient. docTrackr
Sit back, relax and enjoy this presentation about docTrackr, an innovative security company and recent recipient of the Les Assises Security Prize - the most prestigious security award in Europe.
Webinaire Civic Tech : Pourquoi l'open source devient-il la norme pour les dé...Open Source Politics
Un logiciel open source est un logiciel dont le code source est ouvert. Le mouvement qui s’est formé autour de ce choix technologique prend de plus en plus d’ampleur dans notre société en général, et dans le secteur de la participation citoyenne en particulier.
Un projet de migration antivirus
ne présente pas de complexité
particulière. Il serait pourtant
mensonger de dire que migrer se fait
en un claquement de doigts. Comme
tout projet, la migration demande
de la préparation, de la planification
et de l’investissement humain. On
ne change donc pas d’antivirus sans
raison valable mais quand la nécessité
l’impose, l’enjeu et l’envol en valent la
chandelle.
Nos solutions de protection F-Secure : http://www.nrc.fr/nos-solutions-infra/securite-informatique/
Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau.
This document discusses rebooting and transforming public administration through new approaches and technologies. It argues that public administration needs to become more citizen-oriented, open, collaborative, global, multidisciplinary, and focused on concrete experimentation and innovation. However, the reality is that public administration tends to be risk-averse and focused on short-term goals. Technologies provide opportunities but also require new skills and methods like co-creation, service design thinking, and communication to drive transformation. Case studies and lessons learned emphasize fueling experimentation, finding sponsors, co-creating with citizens, and adopting an iterative approach.
Ouverture des données publiques: une opportunité pour GenèvePatrick Genoud
Dans le cadre d'une étude réalisée pour le Département de l'Intérieur de la Mobilité du canton de Genève sur le thème de la participation citoyenne1, nous avons insisté sur les opportunités offertes dans ce domaine par l'ouverture des données publiques de l'administration genevoise. Afin de mettre en exergue cette problématique, il nous a paru utile de reprendre dans un document séparé le chapitre que nous avions consacré aux enjeux liés à l'ouverture des données publiques.
Vers une participation citoyenne augmentéePatrick Genoud
Rapport réalisé à la demande du Département de l’Intérieur et de la Mobilité du canton de Genève sur les questions liées à l’utilisation des technologies numériques pour favoriser l’interaction avec les citoyens.
Living Lab e-Inclusion - Rapport de pré-étudePatrick Genoud
Ce travail de pré-étude a pour objectif d’évaluer le concept Living Lab et de l’expliciter en cristallisant les réflexions sur le domaine spécifique de l’e-Inclusion.
Ouverture vers les citoyens - Exercice de style sur la mobilitéPatrick Genoud
Cette présentation constitue un exercice de style proposé à titre illustratif. Elle ne prétend pas proposer LA solution à la problématique exposée.
Elle est illustrative des potentialités:
- d'un Système d'Information du Territoire Genevois plus ouvert sur les citoyens
- des technologies de l'information et de la communication d'aujourd'hui
- des réseaux sociaux
Elle permet surtout de lancer la discussion autour des enjeux et des défis liés à la manière avec laquelle nous souhaitons interagir avec les citoyens.
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Logiciel libre et sécurité
1. REPUBLIQUE ET CANTON DE GENEVE
Département des constructions et des technologies de l'information
Centre des technologies de l'information
Logiciel libre et sécurité
Auteurs Patrick GENOUD, Observatoire technologique
Version / Date d’enregistrement V1.0 / 2007-04-05
Pour aller à l'essentiel
Observatoire technologique
Téléphone +41 (22) 388 13 50 • Fax +41 (22) 388 13 57 • www.geneve.ch
Le logiciel libre a le potentiel pour être plus sûr que le logiciel propriétaire. Les
projets open source peuvent en effet réaliser tout ce dont sont capables les projets
réalisés en mode fermé, tout en bénéficiant des avantages liés à l'ouverture du code
et au mode de développement communautaire. De nombreux projets open source
de qualité supérieure sont là pour le prouver.
Mais il faut bien distinguer les potentialités indiscutables offertes par le modèle open
source de leur réelle mise en oeuvre au sein des projets. Pour que ce modèle soit
réellement efficace dans le domaine de la sécurité, il faut ainsi que le projet réunisse
une communauté suffisamment importante, dispose de développeurs sensibilisés et
motivés par les questions de sécurité, revoie et corrige effectivement le code en
terme de sécurité et dispose si possible de spécialistes en la matière.
Cela doit passer par une sensibilisation à la sécurité des communautés et de leur
direction ainsi que par une industrialisation des processus de développement, en y
intégrant étroitement la sécurité.
2. Logiciel libre et sécurité
Contexte
Dans le premier plan de mesures publié en novembre 2006 par le conseil d'État du canton
de Genève, la promotion de l'utilisation de logiciels libres figure en bonne place (mesure n°
28). Le Centre des technologies de l'information (CTI) s'est engagé dans cette démarche
avec une approche éloignée de tout dogmatisme.
Comme nous l'avons détaillé dans un précédent rapport1
, l’intérêt du secteur public pour le
logiciel libre est aujourd’hui indéniable, en particulier parce qu’il met très souvent en œuvre
des standards ouverts, qu’il brise les positions de lock-in et qu’il permet une plus grand
adaptabilité aux besoins particuliers. Les motivations essentielles avancées par les
gouvernements sont une meilleure maîtrise et une pérennité accrue de leurs propres
systèmes d’information, une plus grande neutralité dans le choix de vendeurs de solutions
ainsi qu’une ouverture vers les entreprises et les citoyens désirant ou devant interagir avec
les administrations.
Au delà de ces apports stratégiques indéniables, un nombre croissant de solutions open
source gagnent en popularité en raison de leur excellentes performances, de leur fiabilité et
de leur coût d'achat faible ou nul. La sécurité est également un domaine souvent mis en
avant lorsque l'on évoque les avantages associés au logiciel libre. Cet aspect suscite de
nombreuses controverses et les études qui y sont consacrées ne permettent pas d'apporter
un point de vue définitif sur la question.
Le but de ce document est de porter un regard nuancé sur le lien entre sécurité et logiciel
libre en se référant à l'avis de quelques experts dans le domaine.
Mais en préambule à toute considération relative aux aspects spécifiques liés à la sécurité, il
n'est pas inutile de rappeler que le choix d'une solution informatique de devrait pas être
conditionné par un seul critère particulier (comme la sécurité dans le cas qui nous intéresse),
mais plutôt être envisagé de manière globale comme le suggère par exemple le référentiel
NPT2
.
La sécurité informatique est un vaste domaine et nous limiterons notre argumentaire aux
aspects liés au développement d'applications en mode open source ou en mode fermé (par
opposition au mode open source).
Dans ce document nous utiliserons de manière indifférente les termes de logiciel libre et de
logiciel open source dont nous avons déjà précisé la définition ailleurs1
.
Points de vue d'experts
L'expert en sécurité informatique David Wheeler3
propose dans un excellent document
accessible en ligne un chapitre consacré à la relation entre open source et sécurité. Il y
rappelle notamment le point de vue de plusieurs experts dans le domaine dont plusieurs sont
cités ici. Cette revue n'a pas la prétention d'être exhaustive; elle illustre les principaux
arguments énoncés lorsque l'on évoque le sujet.
Bruce Schneier4
, expert en sécurité et en cryptographie, prétend que tout développeur
devrait exiger de bâtir des solutions de sécurité sur des composants open source. La
1
Standards ouverts et logiciel libre Clarification des notions, P. Genoud et G. Pauletto, Observatoire
Technologique, Centre des technologies de l’information du canton de Genève, 2005, http://ot.geneve.ch
2
Référentiel Nouvelles Plateformes Technologiques, P. Genoud et G. Pauletto, Observatoire Technologique,
Centre des technologies de l’information du canton de Genève, 2003, http://ot.geneve.ch
3
Secure Programming for Linux and Unix HOWTO : Creating secure software, D. A. Wheeler, 2003,
http://www.dwheeler.com/secure-programs
4
Open Source and Security, B. Schneier, 1999, Crypto-Gram. Counterpane Internet Security, Inc.,
http://www.counterpane.com/crypto-gram-9909.html
- 2 -
3. Logiciel libre et sécurité
meilleure manière d'augmenter le niveau de qualité d'une solution est selon lui de permettre
son examen par le plus grand nombre d'experts possible. Pour répondre à l'argument du
secret souvent avancé par les défenseurs des logiciel fermés, Bruce Schneier insiste sur le
fait que les composants open source sont conçus pour être sûrs malgré le fait qu'ils soient
publics; c'est dans leur essence même.
Dans un article consacré au sujet Whitfield Diffie5
, le co-inventeur de la cryptographie à clé
publique, conclut en réponse aux arguments des adversaires de l'ouverture du code dans le
domaine de la sécurité: « Il est simplement irréaliste de dépendre du secret en matière de
sécurité des programmes informatiques. On peut prévenir la divulgation du mode de
fonctionnement d'un programme, mais empêchera-t-on le code d'être désassemblé par des
adversaires sérieux ? Probablement pas. ».
Vincent Rijmen6
, l'un des développeurs de l'algorithme d'encryption AES (Advanced
Encryption Standard) pense que la nature même du système d'exploitation open source
Linux permet de mieux détecter et réparer les vulnérabilités de sécurité, non seulement
parce que les gens ont accès au code, mais aussi et surtout parce que le modèle force les
développeurs à adhérer à des standards et à produire du code plus clair, ce qui à son tour
facilite la revue du code.
Mais Hissam et al7
relèvent le fait que l'accessibilité au code ne signifie pas nécessairement
que celui-ci a été revu, notamment au niveau de la sécurité. Mais ils soulignent dans le
même temps que c'est également le cas pour du code propriétaire.
Mais certains comme Fred Schneider8
ne croient pas que le logiciel libre contribue à la
sécurité. Il n'y a selon lui pas de raison de penser que de nombreuses personnes inspectant
un code ouvert soient forcément efficaces dans la détection de bugs liés à la sécurité.
D'autre part, les bugs présents dans le code ne sont selon lui pas la cause majeure des
attaques.
John Viega9
tempère ce point de vue en affirmant: « Les projets open source peuvent être
plus sûrs que les projets dont le code est fermé. Cependant les aspects qui peuvent rendre
un programme plus sûr – la disponibilité du code source et le fait qu'un grand nombre de
personnes peuvent rechercher et réparer des trous de sécurité – peut aussi bercer les gens
dans un faux sentiment de sécurité. ». Dans un article plus récent10
, il considère que le
logiciel libre a, sur le long terme, le potentiel pour être plus sûr que le logiciel propriétaire. Il
se base sur le fait que les projets open source peuvent faire tout ce dont sont capables les
projets commerciaux, tout en bénéficiant des avantages liés à l'ouverture du code. Mais cela
doit passer par une sensibilisation à la sécurité des communautés et de leur direction ainsi
que par une industrialisation des processus de développement, en y intégrant étroitement la
sécurité. Les communautés open source devraient en outre reconnaître l'importance
d'organismes d'audit indépendants.
David Wheeler11
insiste sur le fait qu'il n'est pas nécessaire d'avoir accès au code source
d'un programme pour en découvrir les vulnérabilités, surtout lorsqu'on a uniquement
l'intention de nuire. Il rappelle en outre que garder le secret au sujet d'une vulnérabilité ne la
fera jamais disparaître et compare cette pratique à une bombe à retardement. La conclusion
5
Risky Business: Keeping Security a Secret, W. Diffie, 2003, ZDNet, http://news.zdnet.com/2100-9595_22-
980938.html
6
LinuxSecurity.com Speaks With AES Winner, V. Rijmen, 2000,
http://www.linuxsecurity.com/content/view/117552/49/
7
Trust and Vulnerability in Open Source Software, S. A. Hissam, D. Plakosh et C. Weinstock, 2002, Software
IEE-Proceedings,, Vol 149-1, p 47-51, http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=999090
8
Open Source in Security: Visting the Bizarre, F. B. Schneider, 2000, Proceedings of the 2000 IEEE Symposium
on Security and Privacy, May 14-17, 2000, Berkeley, CA. Los Alamitos, CA: IEEE Computer Society. pp.126-127.
9
The Myth of Open Source Security, J. Viega, 2002, http://www.developer.com/tech/article.php/621851
10
Open source security: still a myth, J. Viega, 2004, O'Reilly publisher (http://www.oreilly.com),
http://www.onlamp.com/pub/a/security/2004/09/16/open_source_security_myths.html
11
Secure Programming for Linux and Unix HOWTO : Creating secure software, D. A. Wheeler, 2003,
http://www.dwheeler.com/secure-programs
- 3 -
4. Logiciel libre et sécurité
de son argumentaire rejoint celle de John Viega: le fait de rendre un programme open
source ne garantit pas une meilleure sécurité. Un processus de revue effective de code
devrait être mis en place avec un regard particulier sur les questions relatives à la sécurité.
De plus le projet devrait inclure des spécialistes qui savent comment concevoir, développer
et examiner des programmes sûrs. Enfin un processus de correction des vulnérabilités et de
distribution des patches de corrections devrait être mis en place.
Pour compléter ce tableau, mentionnons l'article de Alain Boulanger12
dans lequel l'auteur
compare les modèles libre et propriétaire au niveau de la sécurité. Il y discute des aspects
liés à la sécurité et à la fiabilité de ces modèles en examinant deux points clés: l'ouverture du
code et le taux d'erreurs du logiciel. Boulanger réfute les arguments développés dans le livre
blanc publié en 2002 par l'organisation Alexis de Tocqueville Institution13
(fondée en partie
par Microsoft) et qui présente l'usage du logiciel libre dans les organismes gouvernementaux
comme un risque de sécurité majeur en raison de la visibilité du code pour les pirates
informatiques.
Outre les arguments déjà énoncés plus haut, Boulanger constate que les études recensant
le nombre et la fréquence des rapports de vulnérabilités dans les logiciels parlent plutôt en
faveur des logiciels libres que de leurs équivalents propriétaires, spécialement dans le cas
de projets d'envergure comme GNU/Linux, Apache (serveurs Web) ou MySQL (bases de
données). Comme plusieurs autres auteurs Boulanger conclut son article sans déclarer de
vainqueur: les arguments analytiques favorisant l'une ou l'autre approche ne sont en effet
pas concluants. Il est convaincu que les projets open source ayant atteint une masse critique
suffisante produiront des résultats supérieurs à leurs équivalents propriétaires, et ceci à un
moindre coût.
Pour résumer un sentiment largement partagé concernant le lien entre logiciel libre et
sécurité nous terminerons avec la citation de Elias Levy, ancien modérateur de Bugtraq (l'un
des forums de discussion majeurs consacrés à la sécurité), qui résume son point de vue sur
la question ainsi: « Cela signifie-t-il que le logiciel libre n'est pas meilleur que le logiciel
propriétaire en terme de sécurité ? La réponse est non. Le logiciel libre a certainement le
potentiel d'être plus sûr que son son équivalent propriétaire. Mais ne vous y trompez pas, le
simple fait d'être ouvert ne constitue pas une garantie de sécurité ».
Principaux arguments
Comme le propose un récent rapport du Gartner Group14
sur la question, on peut
sommairement regrouper les bénéfices et les risques associés à l'ouverture du code source
selon les quatre thèmes (très liés) développés ci-dessous. Chacun de ces thèmes fait
référence à bon nombre d'arguments développés au chapitre précédent.
Une multitude de réviseurs
L'opinion selon laquelle le logiciel libre est fondamentalement plus sûr que son équivalent
propriétaire s'appuie principalement sur l'une de ses qualités intrinsèques qu'est l'ouverture
du code source à une large communauté. Cette dernière, qui peut compter plusieurs milliers
de personnes dans certains projets, est capable de détecter et de corriger rapidement des
problèmes éventuels, au niveau de la sécurité notamment. Mais ce n'est pas seulement la
mutilitude des réviseurs qui fait la force du modèle open source; c'est surtout le mode de
12
Open-source versus proprietary software Is one more reliable and secure than the other?, A. Boulanger, 2005,
IBM Systems Journal, http://findarticles.com/p/articles/mi_m0ISJ/is_2_44/ai_n14707716
13
Opening the Open Source Debate: A White Paper, Alexis de Tocqueville Institution, 2002,
http://www.adti.net/ip/opensource.pdf
14
Open-Source and Closed-Source AD Security: Combining the Benefits of Both Paradigms, J. Feiman, Gartner
Group 2006, http://www.gartner.com
- 4 -
5. Logiciel libre et sécurité
travail des communautés qui collaborent en réseau en incluant de manière active
développeurs et utilisateurs de la solution.
Cet argument n'est cependant réellement valable que dans le cas où la communauté est
nombreuse et qu'elle peut compter sur des développeurs expérimentés, sensibilisés et
motivés par les questions relatives à la sécurité. Le fait de pouvoir s'appuyer sur des
spécialistes dans le domaine de la sécurité est également essentiel, ne serait-ce que pour
initier un projet sur de bonnes bases (architecture, méthodologie, etc.).
Comme le soulignent de nombreux spécialistes, il faut bien distinguer les potentialités
indiscutables offertes par le modèle open source de leur réelle mise en oeuvre au sein des
projets. Pour que ce modèle soit effectivement efficace dans le domaine de la sécurité, il faut
ainsi que le projet réponde à un minimum de critères:
réunir une communauté suffisamment importante
disposer de développeurs sensibilisés et motivés par les questions de sécurité
revoir et corriger effectivement le code en terme de sécurité
disposer si possible de spécialistes en la matière
Ouverture du code source
Les éditeurs de logiciels propriétaires prétendent souvent que le fait de cacher le code
source empêche les pirates potentiels d'exploiter les vulnérabilités d'un programme. Mais il
n'est pas nécessaire d'avoir accès au code source pour cela. Il existe des outils permettant
de désassembler les programmes ou de mettre en évidence des modèles de comportement
lors de leur utilisation comme les programmes de type Web application security vulnerability
scanners (WASVS) qui sont conçus pour détecter des vulnérabilités sans devoir accéder au
code source. Certains d'entre eux sont d'ailleurs des logiciels libres.
De nombreux experts réfutent l'argument de la sécurité par l'obsucrité qui a notamment pour
défaut de bercer les propriétaires d'une solution fermée dans l'illusion d'une fausse sécurité.
Si le fait de cacher le code source peut avoir un sens lorsque l'on désire préserver un
avantage concurrentiel, cela en a cependant peu, voir pas du tout en terme de sécurité.
L'ouverture du code source est à mettre directement en regard du point précédent. Elle ne
porte ses fruits au niveau de la sécurité que si le projet est correctement engagé dans une
démarche de révision prenant en compte la sécurité.
Certains experts affirment également que l'ouverture du code a un impact indirect sur la
sécurité car elle pousse les développeurs à écrire du code plus lisible, ce qui contribue à
améliorer la qualité du code, à facilite sa révision et à diminuer le nombre d'erreurs.
Détection précoce des problèmes
Dans le cas du logciel libre, lorsqu'un problème de sécurité est détecté, la communauté des
développeurs et des utilisateurs en est très vite informée. Cela augmente les chances de
résoudre rapidement le problème. Ce point est naturellement directement lié à l'ouverture du
code, mais également au mode de fonctionnement des communautés du libre. La rapidité de
réaction de la communauté dépend entre autres de la popularité et de la vitalité du projet.
Cet argument est très théorique. Il dépend d'une part de la taille de la communauté, de la
popularité du projet, de la sensibilité des utilisateurs et des développeurs à la sécurité ainsi
que de leur motivation à résoudre le problème soulevé. Mais il se trouve que dans de
nombreux projets, c'est effectivement le cas, comme le détaille Alain Boulanger13
.
- 5 -
6. Logiciel libre et sécurité
Méthodologies de développement
L'un des arguments avancés lorsque l'on parle de sécurité logicielle est celui de la
méthodologie de développement utilisée, que celle-ci soit générale (comme CMMI15
ou
TST/PSP16
) ou plus spécifique à la sécurité (comme SSE-CMM17
ou TST/PSP-secure18
).
Selon le Gartner Group, l'usage de ces méthodologies influe directement sur le niveau de
sécurité des solutions. Leur faible adoption par les projets open source peut être compensée
par les compétences de la communauté, pour autant que cette dernière soit suffisamment
importante, expérimentée et motivée à prendre en compte les aspects liés à la sécurité.
La sensibilisation des développeurs à de telles méthodologies ne peut qu'augmenter la
qualité des projets open source de moindre envergure.
Conclusion
Le logiciel libre a le potentiel pour être plus sûr que le logiciel propriétaire. Les projets open
source peuvent en effet réaliser tout ce dont sont capables les projets réalisés en mode
fermé, tout en bénéficiant des avantages liés à l'ouverture du code et au mode de
développement communautaire. De nombreux projets open source de qualité supérieure
sont là pour le prouver.
Mais il faut bien distinguer les potentialités indiscutables offertes par le modèle open source
de leur réelle mise en oeuvre au sein des projets. Pour que ce modèle soit réellement
efficace dans le domaine de la sécurité, il faut ainsi que le projet:
réunisse une communauté suffisamment importante,
dispose de développeurs sensibilisés et motivés par les questions de sécurité,
revoie et corrige effectivement le code en terme de sécurité et
dispose si possible de spécialistes en la matière.
Cela doit passer par une sensibilisation à la sécurité des communautés et de leur direction
ainsi que par une industrialisation des processus de développement, en y intégrant
étroitement la sécurité.
15
Capability Maturity Model Integration : http://www.sei.cmu.edu/cmmi
16
Team Software Process (TSP) and the Personal Software Process (PSP) : http://www.sei.cmu.edu/tsp
17
Systems Security Engineering Capability Maturity Model : http://www.sse-cmm.org/index.html
18
TST/PSP-secure : http://www.sei.cmu.edu/tsp/tsp-security.html
- 6 -