SlideShare une entreprise Scribd logo

OWF12/Security and Free Software

Paris Open Source Summit
Paris Open Source Summit
1  sur  17
Télécharger pour lire hors ligne
La sécurité informatique est-elle dépendante du logiciel libre ? Louis Granboulan 11 octobre 2012 Open World Forum – session « Security and Free Software »
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Réponse : Oui Page 2
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Mais on peut détailler… Qu’est-ce que le logiciel libre apporte à la sécurité ? (sécurité informatique, en particulier) En quoi le fait d’être libre a favorisé cet apport ? (qu’est-ce qui est différenciant ?) Le logiciel propriétaire a-t-il évolué à cause du libre ? Page 3
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Un peu de bibliographie La question habituellement posée est : le logiciel libre est-il moins vulnérable que le logiciel propriétaire ? Le livre Secure Programming for Linux and Unix HOWTO par David A. Wheeler contient un chapitre résumant les discussions sur le sujet au début des années 2000 http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/open-source-security.html Et un guide a été publié par le SANS en 2003 http://www.sans.org/reading_room/whitepapers/awareness/security-concerns-open-source-software- enterprise-requirements_1305 Le débat en est à peu près au même point dix ans plus tard http://manoharbhattarai.wordpress.com/2010/07/24/why-free-software-is-more-secure/ http://www.techrepublic.com/blog/security/key-open-source-security-benefits/4941 Mais il continue à être vivant… Un workshop Open source et sécurité a eu lieu le 13 septembre dernier dans le cadre des Labs Hadopi Page 4
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Quelques exemples de logiciels libres essentiels pour la sécurité Services de base : apache, sendmail, squid, spamassassin, vsftpd, openvpn, … Outils de base : GNU, Linux, mysql, python, … Développement logiciel : cvs, trac, sonar, findbugs, … Logiciels de sécurité informatique : gnupg, openssl, truecrypt, metasploit, john, snort, scapy, ossec, nufw, … Et aussi des logiciels pour la sécurité globale, par exemple d’analyse de données : tesseract, libface, CMU sphinx, … Page 5
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Question directrice Le fait d’être un logiciel libre est-il différenciant ? Page 6
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 1. Accès au code source Possibilité d’audit de sécurité par l’utilisateur La publication des algorithmes devient la norme en cryptographie, pour des raisons de sécurité ; pourquoi pas la même chose en matière de logiciel ? Question par exemple posée par B. Schneier en 1999… Mais en réalité, c’est le processus de développement et surtout d’évaluation qui est important Il doit y avoir une évaluation de la sécurité du logiciel (erreurs de programmation, ou d’architecture) et de la sécurité du logiciel dans son environnement (validation que l’utilisation est conforme aux hypothèses de l’évaluation de sécurité) Se pose aussi la question de quel code source évaluer… Exemple de la faille openssl sur Debian en 2008, ou bien des versions Apple de logiciels open source En pratique Les logiciels open source très utilisés sont continument évalués par la communauté des experts en sécurité, les logiciels peu utilisés ne sont pas évalués… et la qualité de l’éventuelle évaluation n’est pas mesurée Page 7
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 1. Accès au code source Possibilité de patch des failles Car un logiciel libre n’est pas seulement un logiciel de source public, il peut être modifié par n’importe quel utilisateur Avantage du logiciel libre Les patchs de sécurité peuvent être publiés plus vite (e.g. l’étude Firefox vs. IE faite par Secunia en 2008, montrant un délai moyen de 43 jours pour Mozilla et 110 jours pour Microsoft) Celui qui découvre une faille peut la corriger lui-même Inconvénients du logiciel libre Le processus de validation des patchs est en général incomplet Non-prédictibilité de la diffusion des patchs, donc déploiement compliqué Page 8
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 1. Accès au code source Possibilité de modification du logiciel C’est souvent la raison du choix d’un logiciel libre Extensions Le rajout de fonctions peut améliorer la sécurité (patch grsecurity!) Mais en général cela l’empire… Simplifications Il n’est pas rare, pour des raisons de sécurité, d’enlever les parties du logiciel dont on ne se servira pas C’est par exemple un usage courant chez EADS pour les logiciels assurant des fonctions critiques Page 9
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 1. Accès au code source Impact sur la sécurité des logiciels propriétaires Possibilité d’audit de sécurité par l’utilisateur L’audit de sécurité des logiciels propriétaires, par leur client ou un tiers de confiance, n’est pas rentré dans l’usage Certains clients commencent à le demander systématiquement : systèmes critiques, agences gouvernementales, … Possibilité de patch des failles Lorsqu’un concurrent open source existe, la comparaison pousse l’éditeur commercial à améliorer sa réactivité Possibilité de modification du logiciel Des systèmes de plugins apparaissent de plus en plus fréquemment, souvent au détriment de la sécurité Page 10
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 2. Facilité de déploiement Pas de processus d’achat L’utilisation d’un logiciel libre peut se faire de l’initiative de l’administrateur du système Plus grande réactivité, les processus d’achats étant parfois très longs Pas d’obstacle à avoir toujours la version la plus récente Les frais d’acquisition sont cachés Ils se résument à la montée en compétence des administrateurs et utilisateurs Il est plus facile de proposer des alternatives redondantes (e.g. plusieurs browsers) Le déploiement de maquettes de test est facilité Le libre a la faveur des utilisateurs experts en informatique Beaucoup utilisé pour le déploiement de logiciels de sécurité informatique (firewalls, supervision, tests de sécurité) Beaucoup utilisé dans le milieu de la recherche Page 11
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 2. Facilité de déploiement Inclusion de bibliothèques ou de modules libres Accélère le développement de logiciels La variété de l’écosystème du libre permet d’y trouver tout ce qui n’est pas la fonction innovante qu’on veut inclure dans notre logiciel Mais il faut savoir choisir (gnome vs. Qt, openssl vs. GnuTLS ou NSS, etc.) Évite de mal réinventer la roue Par exemple en matière d’implémentations cryptographiques, il est rare que les développeurs aient les compétences pour faire mieux que ce qui est publiquement disponible Pareil pour la gestion de la mémoire ou des chaînes de caractères Mais vaut-il mieux développer en C en utilisant des bibliothèques tierces, ou bien utiliser un langage de programmation dont le toolkit fournit ces outils? Page 12
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 2. Facilité de déploiement Impact sur la sécurité du logiciel propriétaire Pas de processus d’achat Les vendeurs proposent en général des versions d’évaluation gratuitement Pour un intégrateur comme EADS, c’est essentiel ! Inclusion de bibliothèques ou de modules libres Les logiciels propriétaires sont nombreux à inclure du libre (non viral, en général) Le processus de mise à jour de ces logiciels doit donc tenir compte des mises à jour de ces modules libres… exemple d’Apple qui rajoute un délai de validation des patchs de sécurité Un industriel développant du logiciel pourra être tenté de produire du logiciel libre pour pouvoir inclure du code GPL ; donc son processus de développement s’adapte à la possibilité que le code source devienne public Page 13
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 3. Communautés Communauté de développeurs Lisibilité du code Nécessaire pour que les développeurs travaillent efficacement Impact positif sur la sécurité En réalité, la lisibilité n’est pas souvent bonne… Acceptation des patchs En théorie, la revue des patchs par des tiers est un facteur de qualité En pratique, l’acceptation se décide plutôt sur des critères humains Packaging En théorie, la portabilité améliore la sécurité En pratique, on voit souvent des tests ad hoc pour détecter l’environnement… Page 14
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 3. Communautés Communauté d’utilisateurs Retour d’expérience Les développeurs mettent en place des listes de discussion, des outils de remontée de bugs, où il est possible de fournir des éléments d’analyse du bug et de proposer des correctifs Demande d’ajout de fonctionnalités L’impact sur la sécurité peut être important, si le processus de développement n’impose pas une analyse de sécurité pour chaque ajout de fonction L’efficacité de la communauté d’utilisateurs est améliorée quand le sentiment communautaire est fort Apple réussit à faire cela même sur ses logiciels propriétaires ! Page 15
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 3. Communautés Impact sur la sécurité du logiciel propriétaire Communauté de développeurs Il est courant de voir un logiciel propriétaire devenir libre pour bénéficier d’une communauté de développeurs (Netscape/Mozilla et StarOffice/OpenOffice étant les plus célèbres) Communauté d’utilisateurs Les logiciels propriétaires assument en général l’existence de bugs et prévoient un moyen de remonter les informations. Soit c’est totalement automatique (e.g. rapports de plantage) soit ça s’inspire du libre (mêmes outils) soit c’est artisanal (adresse de contact) L’ajout de fonctionnalités quant à lui est strictement contrôlé Page 16
Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Conclusion Le libre est important Parce qu’il propose des pratiques différentes Parce qu’il propose des alternatives Mais Le logiciel propriétaire peut avoir les mêmes qualités que le libre, il suffit qu’il s’en inspire Page 17

Recommandé

Logiciel libre et sécurité
Logiciel libre et sécuritéLogiciel libre et sécurité
Logiciel libre et sécuritéPatrick Genoud
 
Introduction au test_logiciel-fr
Introduction au test_logiciel-frIntroduction au test_logiciel-fr
Introduction au test_logiciel-frEmanBali
 
La gouvernance d'entreprise avec le cloud
La gouvernance d'entreprise avec le cloudLa gouvernance d'entreprise avec le cloud
La gouvernance d'entreprise avec le cloudISACA Chapitre de Québec
 
ISACA section de Québec (présentation fev 2013)
ISACA section de Québec (présentation fev 2013)ISACA section de Québec (présentation fev 2013)
ISACA section de Québec (présentation fev 2013)ISACA Chapitre de Québec
 
Présentation1
Présentation1Présentation1
Présentation1Christian Boulet
 
Programme ISACA Québec 2013-2014
Programme ISACA Québec 2013-2014Programme ISACA Québec 2013-2014
Programme ISACA Québec 2013-2014ISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 

Recommandé

Logiciel libre et sécurité
Logiciel libre et sécuritéLogiciel libre et sécurité
Logiciel libre et sécuritéPatrick Genoud
 
Introduction au test_logiciel-fr
Introduction au test_logiciel-frIntroduction au test_logiciel-fr
Introduction au test_logiciel-frEmanBali
 
La gouvernance d'entreprise avec le cloud
La gouvernance d'entreprise avec le cloudLa gouvernance d'entreprise avec le cloud
La gouvernance d'entreprise avec le cloudISACA Chapitre de Québec
 
ISACA section de Québec (présentation fev 2013)
ISACA section de Québec (présentation fev 2013)ISACA section de Québec (présentation fev 2013)
ISACA section de Québec (présentation fev 2013)ISACA Chapitre de Québec
 
Présentation1
Présentation1Présentation1
Présentation1Christian Boulet
 
Programme ISACA Québec 2013-2014
Programme ISACA Québec 2013-2014Programme ISACA Québec 2013-2014
Programme ISACA Québec 2013-2014ISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
Sécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueSécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueISACA Chapitre de Québec
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québecPatrick Leclerc
 
La continuité des affaires et la relève TI
La continuité des affaires et la relève TILa continuité des affaires et la relève TI
La continuité des affaires et la relève TIISACA Chapitre de Québec
 
Les avantages d'être membre d'une association professionnelle active et recon...
Les avantages d'être membre d'une association professionnelle active et recon...Les avantages d'être membre d'une association professionnelle active et recon...
Les avantages d'être membre d'une association professionnelle active et recon...ISACA Chapitre de Québec
 
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...ISACA Chapitre de Québec
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAISACA Chapitre de Québec
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)ISACA Chapitre de Québec
 
La sécurité : enjeu majeur à l'heure de la convergence des réseaux
La sécurité : enjeu majeur à l'heure de la convergence des réseauxLa sécurité : enjeu majeur à l'heure de la convergence des réseaux
La sécurité : enjeu majeur à l'heure de la convergence des réseauxISACA Chapitre de Québec
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
Asset management
Asset managementAsset management
Asset managementonepoint x weave
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec
 
Introduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libresIntroduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libresBruno Cornec
 
Les Logiciels Libres et Open Sources
Les Logiciels Libres et Open SourcesLes Logiciels Libres et Open Sources
Les Logiciels Libres et Open SourcesJibril Touzi
 

Contenu connexe

En vedette

Sécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueSécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueISACA Chapitre de Québec
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québecPatrick Leclerc
 
La continuité des affaires et la relève TI
La continuité des affaires et la relève TILa continuité des affaires et la relève TI
La continuité des affaires et la relève TIISACA Chapitre de Québec
 
Les avantages d'être membre d'une association professionnelle active et recon...
Les avantages d'être membre d'une association professionnelle active et recon...Les avantages d'être membre d'une association professionnelle active et recon...
Les avantages d'être membre d'une association professionnelle active et recon...ISACA Chapitre de Québec
 
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...ISACA Chapitre de Québec
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)ISACA Chapitre de Québec
 
La sécurité : enjeu majeur à l'heure de la convergence des réseaux
La sécurité : enjeu majeur à l'heure de la convergence des réseauxLa sécurité : enjeu majeur à l'heure de la convergence des réseaux
La sécurité : enjeu majeur à l'heure de la convergence des réseauxISACA Chapitre de Québec
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 

En vedette (20)

Sécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatiqueSécurité et ITIL: une approche pragmatique
Sécurité et ITIL: une approche pragmatique
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
 
La continuité des affaires et la relève TI
La continuité des affaires et la relève TILa continuité des affaires et la relève TI
La continuité des affaires et la relève TI
 
Les avantages d'être membre d'une association professionnelle active et recon...
Les avantages d'être membre d'une association professionnelle active et recon...Les avantages d'être membre d'une association professionnelle active et recon...
Les avantages d'être membre d'une association professionnelle active et recon...
 
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
L’optimisation de l’audit des contrôles TI : se démarquer avec des ressources...
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)
 
La sécurité : enjeu majeur à l'heure de la convergence des réseaux
La sécurité : enjeu majeur à l'heure de la convergence des réseauxLa sécurité : enjeu majeur à l'heure de la convergence des réseaux
La sécurité : enjeu majeur à l'heure de la convergence des réseaux
 
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Asset management
Asset managementAsset management
Asset management
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 

Similaire à OWF12/Security and Free Software

Introduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libresIntroduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libresBruno Cornec
 
Les Logiciels Libres et Open Sources
Les Logiciels Libres et Open SourcesLes Logiciels Libres et Open Sources
Les Logiciels Libres et Open SourcesJibril Touzi
 
Logiciellibre
LogiciellibreLogiciellibre
Logiciellibrem4rylin
 
Introduction aux logiciels libres et à Linux
Introduction aux logiciels libres et à LinuxIntroduction aux logiciels libres et à Linux
Introduction aux logiciels libres et à LinuxBruno Cornec
 
L'analyse qualitative informatique pas cher
L'analyse qualitative informatique pas cherL'analyse qualitative informatique pas cher
L'analyse qualitative informatique pas cherHubert Maisonneuve
 
Cours SE linux
Cours SE linuxCours SE linux
Cours SE linuxIdriss22
 
Présentation Logiciels Libres et Open Source - Philosophie et Concepts.pdf
Présentation Logiciels Libres et Open Source - Philosophie et Concepts.pdfPrésentation Logiciels Libres et Open Source - Philosophie et Concepts.pdf
Présentation Logiciels Libres et Open Source - Philosophie et Concepts.pdfLaurent Destailleur
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 
L soual abf 21 mai 2010_opensource
L soual abf 21 mai 2010_opensourceL soual abf 21 mai 2010_opensource
L soual abf 21 mai 2010_opensourceBibliolab
 
Logiciels libres
Logiciels libresLogiciels libres
Logiciels libresj_lipaz
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
 
Les types de licence des logiciels
Les types de licence des logicielsLes types de licence des logiciels
Les types de licence des logicielsD1clic
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
Reverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le ProfitReverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le ProfitSoufiane Tahiri
 
En 2021, comment je fais de la veille opensource
En 2021, comment je fais de la veille opensource En 2021, comment je fais de la veille opensource
En 2021, comment je fais de la veille opensource Jérôme aka "Genma" Kun
 

Similaire à OWF12/Security and Free Software (20)

Introduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libresIntroduction à Linux et aux logiciels libres
Introduction à Linux et aux logiciels libres
 
Les Logiciels Libres et Open Sources
Les Logiciels Libres et Open SourcesLes Logiciels Libres et Open Sources
Les Logiciels Libres et Open Sources
 
Logiciellibre
LogiciellibreLogiciellibre
Logiciellibre
 
logiciel libre
logiciel librelogiciel libre
logiciel libre
 
Introduction aux logiciels libres et à Linux
Introduction aux logiciels libres et à LinuxIntroduction aux logiciels libres et à Linux
Introduction aux logiciels libres et à Linux
 
L'analyse qualitative informatique pas cher
L'analyse qualitative informatique pas cherL'analyse qualitative informatique pas cher
L'analyse qualitative informatique pas cher
 
Cours SE linux
Cours SE linuxCours SE linux
Cours SE linux
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Présentation Logiciels Libres et Open Source - Philosophie et Concepts.pdf
Présentation Logiciels Libres et Open Source - Philosophie et Concepts.pdfPrésentation Logiciels Libres et Open Source - Philosophie et Concepts.pdf
Présentation Logiciels Libres et Open Source - Philosophie et Concepts.pdf
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
Cyberun #12
Cyberun #12Cyberun #12
Cyberun #12
 
L soual abf 21 mai 2010_opensource
L soual abf 21 mai 2010_opensourceL soual abf 21 mai 2010_opensource
L soual abf 21 mai 2010_opensource
 
Bien sécuriser et gérer ses données
Bien sécuriser et gérer ses donnéesBien sécuriser et gérer ses données
Bien sécuriser et gérer ses données
 
Logiciels libres
Logiciels libresLogiciels libres
Logiciels libres
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite php
 
Les types de licence des logiciels
Les types de licence des logicielsLes types de licence des logiciels
Les types de licence des logiciels
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Reverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le ProfitReverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le Profit
 
En 2021, comment je fais de la veille opensource
En 2021, comment je fais de la veille opensource En 2021, comment je fais de la veille opensource
En 2021, comment je fais de la veille opensource
 

Plus de Paris Open Source Summit

#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...Paris Open Source Summit
 
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...Paris Open Source Summit
 
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...Paris Open Source Summit
 
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, ArduinoParis Open Source Summit
 
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...Paris Open Source Summit
 
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...Paris Open Source Summit
 
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, ZabbixParis Open Source Summit
 
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, InriaParis Open Source Summit
 
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...Paris Open Source Summit
 
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...Paris Open Source Summit
 
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...Paris Open Source Summit
 
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...Paris Open Source Summit
 
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...Paris Open Source Summit
 
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...Paris Open Source Summit
 
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...Paris Open Source Summit
 
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...Paris Open Source Summit
 
#OSSPARIS19 - Table ronde : souveraineté des données
#OSSPARIS19 - Table ronde : souveraineté des données #OSSPARIS19 - Table ronde : souveraineté des données
#OSSPARIS19 - Table ronde : souveraineté des données Paris Open Source Summit
 
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...Paris Open Source Summit
 
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...Paris Open Source Summit
 
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...Paris Open Source Summit
 

Plus de Paris Open Source Summit (20)

#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
#OSSPARIS19 : Control your Embedded Linux remotely by using WebSockets - Gian...
 
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
#OSSPARIS19 : A virtual machine approach for microcontroller programming : th...
 
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
#OSSPARIS19 : RIOT: towards open source, secure DevOps on microcontroller-bas...
 
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
#OSSPARIS19 : The evolving (IoT) security landscape - Gianluca Varisco, Arduino
 
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
#OSSPARIS19: Construire des applications IoT "secure-by-design" - Thomas Gaza...
 
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
#OSSPARIS19 : Detecter des anomalies de séries temporelles à la volée avec Wa...
 
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
#OSSPARIS19 : Supervision d'objets connectés industriels - Eric DOANE, Zabbix
 
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
#OSSPARIS19: Introduction to scikit-learn - Olivier Grisel, Inria
 
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
#OSSPARIS19 - Fostering disruptive innovation in AI with JEDI - André Loesekr...
 
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
#OSSPARIS19 : Comment ONLYOFFICE aide à organiser les travaux de recherches ...
 
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
#OSSPARIS19 : MDPH : une solution collaborative open source pour l'instructio...
 
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
#OSSPARIS19 - Understanding Open Source Governance - Gilles Gravier, Wipro Li...
 
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
#OSSPARIS19 : Publier du code Open Source dans une banque : Mission impossibl...
 
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
#OSSPARIS19 : Libre à vous ! Raconter les libertés informatiques à la radio -...
 
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
#OSSPARIS19 - Le logiciel libre : un enjeu politique et social - Etienne Gonn...
 
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
#OSSPARIS19 - Conflits d’intérêt & concurrence : la place de l’éditeur dans l...
 
#OSSPARIS19 - Table ronde : souveraineté des données
#OSSPARIS19 - Table ronde : souveraineté des données #OSSPARIS19 - Table ronde : souveraineté des données
#OSSPARIS19 - Table ronde : souveraineté des données
 
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
#OSSPARIS19 - Comment financer un projet de logiciel libre - LUDOVIC DUBOST, ...
 
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
#OSSPARIS19 - BlueMind v4 : les dessous technologiques de 10 ans de travail p...
 
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
#OSSPARIS19 - Tuto de première installation de VITAM, un système d'archivage ...
 

OWF12/Security and Free Software

  • 1. La sécurité informatique est-elle dépendante du logiciel libre ? Louis Granboulan 11 octobre 2012 Open World Forum – session « Security and Free Software »
  • 2. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Réponse : Oui Page 2
  • 3. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Mais on peut détailler… Qu’est-ce que le logiciel libre apporte à la sécurité ? (sécurité informatique, en particulier) En quoi le fait d’être libre a favorisé cet apport ? (qu’est-ce qui est différenciant ?) Le logiciel propriétaire a-t-il évolué à cause du libre ? Page 3
  • 4. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Un peu de bibliographie La question habituellement posée est : le logiciel libre est-il moins vulnérable que le logiciel propriétaire ? Le livre Secure Programming for Linux and Unix HOWTO par David A. Wheeler contient un chapitre résumant les discussions sur le sujet au début des années 2000 http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/open-source-security.html Et un guide a été publié par le SANS en 2003 http://www.sans.org/reading_room/whitepapers/awareness/security-concerns-open-source-software- enterprise-requirements_1305 Le débat en est à peu près au même point dix ans plus tard http://manoharbhattarai.wordpress.com/2010/07/24/why-free-software-is-more-secure/ http://www.techrepublic.com/blog/security/key-open-source-security-benefits/4941 Mais il continue à être vivant… Un workshop Open source et sécurité a eu lieu le 13 septembre dernier dans le cadre des Labs Hadopi Page 4
  • 5. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Quelques exemples de logiciels libres essentiels pour la sécurité Services de base : apache, sendmail, squid, spamassassin, vsftpd, openvpn, … Outils de base : GNU, Linux, mysql, python, … Développement logiciel : cvs, trac, sonar, findbugs, … Logiciels de sécurité informatique : gnupg, openssl, truecrypt, metasploit, john, snort, scapy, ossec, nufw, … Et aussi des logiciels pour la sécurité globale, par exemple d’analyse de données : tesseract, libface, CMU sphinx, … Page 5
  • 6. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Question directrice Le fait d’être un logiciel libre est-il différenciant ? Page 6
  • 7. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 1. Accès au code source Possibilité d’audit de sécurité par l’utilisateur La publication des algorithmes devient la norme en cryptographie, pour des raisons de sécurité ; pourquoi pas la même chose en matière de logiciel ? Question par exemple posée par B. Schneier en 1999… Mais en réalité, c’est le processus de développement et surtout d’évaluation qui est important Il doit y avoir une évaluation de la sécurité du logiciel (erreurs de programmation, ou d’architecture) et de la sécurité du logiciel dans son environnement (validation que l’utilisation est conforme aux hypothèses de l’évaluation de sécurité) Se pose aussi la question de quel code source évaluer… Exemple de la faille openssl sur Debian en 2008, ou bien des versions Apple de logiciels open source En pratique Les logiciels open source très utilisés sont continument évalués par la communauté des experts en sécurité, les logiciels peu utilisés ne sont pas évalués… et la qualité de l’éventuelle évaluation n’est pas mesurée Page 7
  • 8. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 1. Accès au code source Possibilité de patch des failles Car un logiciel libre n’est pas seulement un logiciel de source public, il peut être modifié par n’importe quel utilisateur Avantage du logiciel libre Les patchs de sécurité peuvent être publiés plus vite (e.g. l’étude Firefox vs. IE faite par Secunia en 2008, montrant un délai moyen de 43 jours pour Mozilla et 110 jours pour Microsoft) Celui qui découvre une faille peut la corriger lui-même Inconvénients du logiciel libre Le processus de validation des patchs est en général incomplet Non-prédictibilité de la diffusion des patchs, donc déploiement compliqué Page 8
  • 9. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 1. Accès au code source Possibilité de modification du logiciel C’est souvent la raison du choix d’un logiciel libre Extensions Le rajout de fonctions peut améliorer la sécurité (patch grsecurity!) Mais en général cela l’empire… Simplifications Il n’est pas rare, pour des raisons de sécurité, d’enlever les parties du logiciel dont on ne se servira pas C’est par exemple un usage courant chez EADS pour les logiciels assurant des fonctions critiques Page 9
  • 10. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 1. Accès au code source Impact sur la sécurité des logiciels propriétaires Possibilité d’audit de sécurité par l’utilisateur L’audit de sécurité des logiciels propriétaires, par leur client ou un tiers de confiance, n’est pas rentré dans l’usage Certains clients commencent à le demander systématiquement : systèmes critiques, agences gouvernementales, … Possibilité de patch des failles Lorsqu’un concurrent open source existe, la comparaison pousse l’éditeur commercial à améliorer sa réactivité Possibilité de modification du logiciel Des systèmes de plugins apparaissent de plus en plus fréquemment, souvent au détriment de la sécurité Page 10
  • 11. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 2. Facilité de déploiement Pas de processus d’achat L’utilisation d’un logiciel libre peut se faire de l’initiative de l’administrateur du système Plus grande réactivité, les processus d’achats étant parfois très longs Pas d’obstacle à avoir toujours la version la plus récente Les frais d’acquisition sont cachés Ils se résument à la montée en compétence des administrateurs et utilisateurs Il est plus facile de proposer des alternatives redondantes (e.g. plusieurs browsers) Le déploiement de maquettes de test est facilité Le libre a la faveur des utilisateurs experts en informatique Beaucoup utilisé pour le déploiement de logiciels de sécurité informatique (firewalls, supervision, tests de sécurité) Beaucoup utilisé dans le milieu de la recherche Page 11
  • 12. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 2. Facilité de déploiement Inclusion de bibliothèques ou de modules libres Accélère le développement de logiciels La variété de l’écosystème du libre permet d’y trouver tout ce qui n’est pas la fonction innovante qu’on veut inclure dans notre logiciel Mais il faut savoir choisir (gnome vs. Qt, openssl vs. GnuTLS ou NSS, etc.) Évite de mal réinventer la roue Par exemple en matière d’implémentations cryptographiques, il est rare que les développeurs aient les compétences pour faire mieux que ce qui est publiquement disponible Pareil pour la gestion de la mémoire ou des chaînes de caractères Mais vaut-il mieux développer en C en utilisant des bibliothèques tierces, ou bien utiliser un langage de programmation dont le toolkit fournit ces outils? Page 12
  • 13. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 2. Facilité de déploiement Impact sur la sécurité du logiciel propriétaire Pas de processus d’achat Les vendeurs proposent en général des versions d’évaluation gratuitement Pour un intégrateur comme EADS, c’est essentiel ! Inclusion de bibliothèques ou de modules libres Les logiciels propriétaires sont nombreux à inclure du libre (non viral, en général) Le processus de mise à jour de ces logiciels doit donc tenir compte des mises à jour de ces modules libres… exemple d’Apple qui rajoute un délai de validation des patchs de sécurité Un industriel développant du logiciel pourra être tenté de produire du logiciel libre pour pouvoir inclure du code GPL ; donc son processus de développement s’adapte à la possibilité que le code source devienne public Page 13
  • 14. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 3. Communautés Communauté de développeurs Lisibilité du code Nécessaire pour que les développeurs travaillent efficacement Impact positif sur la sécurité En réalité, la lisibilité n’est pas souvent bonne… Acceptation des patchs En théorie, la revue des patchs par des tiers est un facteur de qualité En pratique, l’acceptation se décide plutôt sur des critères humains Packaging En théorie, la portabilité améliore la sécurité En pratique, on voit souvent des tests ad hoc pour détecter l’environnement… Page 14
  • 15. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 3. Communautés Communauté d’utilisateurs Retour d’expérience Les développeurs mettent en place des listes de discussion, des outils de remontée de bugs, où il est possible de fournir des éléments d’analyse du bug et de proposer des correctifs Demande d’ajout de fonctionnalités L’impact sur la sécurité peut être important, si le processus de développement n’impose pas une analyse de sécurité pour chaque ajout de fonction L’efficacité de la communauté d’utilisateurs est améliorée quand le sentiment communautaire est fort Apple réussit à faire cela même sur ses logiciels propriétaires ! Page 15
  • 16. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? 3. Communautés Impact sur la sécurité du logiciel propriétaire Communauté de développeurs Il est courant de voir un logiciel propriétaire devenir libre pour bénéficier d’une communauté de développeurs (Netscape/Mozilla et StarOffice/OpenOffice étant les plus célèbres) Communauté d’utilisateurs Les logiciels propriétaires assument en général l’existence de bugs et prévoient un moyen de remonter les informations. Soit c’est totalement automatique (e.g. rapports de plantage) soit ça s’inspire du libre (mêmes outils) soit c’est artisanal (adresse de contact) L’ajout de fonctionnalités quant à lui est strictement contrôlé Page 16
  • 17. Open World Forum 2012 - La sécurité informatique est-elle dépendante du logiciel libre ? Conclusion Le libre est important Parce qu’il propose des pratiques différentes Parce qu’il propose des alternatives Mais Le logiciel propriétaire peut avoir les mêmes qualités que le libre, il suffit qu’il s’en inspire Page 17