{"id":332,"date":"2009-09-02T13:09:15","date_gmt":"2009-09-02T12:09:15","guid":{"rendered":"http:\/\/www.auditsi.eu\/?p=332"},"modified":"2011-09-21T13:56:12","modified_gmt":"2011-09-21T11:56:12","slug":"securite-informatique-les-enjeux-de-lopen-source","status":"publish","type":"post","link":"https:\/\/www.auditsi.eu\/?p=332","title":{"rendered":"S\u00e9curit\u00e9 informatique : les enjeux de l'”open source”"},"content":{"rendered":"

L’open source est tr\u00e8s pr\u00e9sent dans le monde de l’informatique “libre” (freeware en anglais) o\u00f9 les logiciels d\u00e9velopp\u00e9s par des passionn\u00e9s (seuls ou en \u00e9quipes) sont distribu\u00e9s gratuitement ou presque. Dans ce domaine, gratuit ne rime pas avec mauvaise qualit\u00e9, bien au contraire. De nombreux logiciels gratuits concurrencent f\u00e9rocement des logiciels payants \u00e9dit\u00e9s par des multinationales \u00e0 gros budget \u00e0 commencer par LINUX contre WINDOWS. Ne nous y trompons pas l’enjeu n’est pas seulement financier, l’open source introduit la transparence que recherche bon nombre de directions informatiques d’entreprises et d’administrations (dont les militaires) sur le fonctionnement des logiciels int\u00e9gr\u00e9s \u00e0 leurs syst\u00e8mes informatiques.<\/p>\n

En effet, l’\u00e9diteur d’un logiciel “open source” (en fran\u00e7ais code source libre) fournit, en plus du logiciel proprement dit, le code source (c’est-\u00e0-dire les lignes de programmes qui, compil\u00e9es, produisent le logiciel, produit fini). Ce code source, fourni gracieusement, assure une totale transparence sur les techniques de programmation utilis\u00e9es par les d\u00e9veloppeurs du logiciel. La communication du code source permet \u00e0 la communaut\u00e9 des informaticiens de d\u00e9celer d’\u00e9ventuels probl\u00e8mes de s\u00e9curit\u00e9, de les corriger ou de signaler le probl\u00e8me aux d\u00e9veloppeurs pour correction. L’open source tranche donc compl\u00e8tement avec les logiciels propri\u00e9taires “ferm\u00e9s” dont le code source est tenu secret (la licence d’utilisation de ces logiciels pr\u00e9voit g\u00e9n\u00e9ralement l’interdiction de la d\u00e9compilation, c’est-\u00e0-dire la reconstitution du code source \u00e0 partir du produit fini). En effet, l’utilisateur n’a pas connaissance directement des techniques de programmation mises en oeuvre et n’a aucun moyen de d\u00e9celer d’\u00e9ventuelles failles de s\u00e9curit\u00e9 ouvertes dans son syst\u00e8me par ce logiciel, autrement que celles r\u00e9v\u00e9l\u00e9es dans les nombreux forums de discussion. Evidemment, l’utilisateur lambda ne dispose pas des comp\u00e9tences propres \u00e0 analyser voire d\u00e9chiffrer le code source d’un logiciel mais la communaut\u00e9 de d\u00e9veloppeurs b\u00e9n\u00e9voles est riche d’\u00e9tudiants, d’universitaires, de th\u00e9sards… voire maintenant de retrait\u00e9s qui disposent de temps et de moyens. Cette communaut\u00e9 est tr\u00e8s active \u00e0 l’image de celle qui tourne autours des diff\u00e9rents projets LINUX.<\/p>\n

Extrait de code source en Visual C++ :<\/p>\n

#include <CkMht.h>
\n#include <CkString.h><\/em><\/p>\n

void ChilkatSample(void)<\/em>
\n{<\/em>
\nCkMht mht;<\/em><\/p>\n

bool success;<\/em>
\nsuccess = mht.UnlockComponent(“30-day trial”);<\/em>
\nif (success != true) {<\/em>
\nprintf(“Mht component unlock failed\\n”);<\/em>
\nreturn;<\/em>
\n}<\/em><\/p>\n

L’int\u00e9r\u00eat de transparence et de s\u00e9curit\u00e9 se comprend tr\u00e8s bien pour des militaires qui se doivent de comprendre le fonctionnement des syst\u00e8mes qu’ils emploient sur des th\u00e9atres d’op\u00e9rations ext\u00e9rieurs. Les failles de s\u00e9curit\u00e9 sont concern\u00e9es mais pas seulement. Les “backdoors” (ou portes d\u00e9rob\u00e9es) sont la hantises des militaires et plus g\u00e9n\u00e9ralement des directions informatiques : la plus imprenable des citadelles prot\u00e9g\u00e9e de parefeus pirat\u00e9e parce que la porte de derri\u00e8re est rest\u00e9e ouverte… Le pire cauchemar de tout responsable informatique. Cependant, l’opacit\u00e9 des syst\u00e8mes propri\u00e9taires conviendra \u00e0 l’utilisateur moyen peu au fait de ces probl\u00e8mes de s\u00e9curit\u00e9 (que les mises \u00e0 jour quotidiennes et automatiques de Microsoft rassurent).<\/p>\n

\"Share<\/a>