Confiance aveugle

Je vois encore des gens croire que parce que le code est ouvert (open source), on est en sécurité avec des logiciels libres ou sur Linux. C’est évidemment faux.

Ce n’est pas parce que le code est ouvert, que quelqu’un va se pencher sérieusement dessus (le mainteneur par exemple) ni qu’on trouvera les trous de sécurité ou les erreurs/aberrations. Que le code soit ouvert est une bonne pratique, c’est déjà colossal mais ça n’inclut pas systématiquement le fait que le code soit contrôlé et « bien » contrôlé.

Vous êtes peut-être au courant du problème du paquet XScreenSaver dans Debian ? Je vous invite à lire l’article de Cyrille si ce n’est pas le cas.

Je considère que c’est un épiphénomène mais je vais en parler brièvement.

Le développeur de XScreenSaver a grave merdé. Il n’a surtout pensé qu’à lui, il a surtout oublié le respect des autres, la construction collective et n’en a rien eu à faire de ses responsabilités. Il a brisé le cercle vertueux du respect, de la confiance et de la responsabilité de chacun.

Mon avis personnel c’est que ce développeur a la plus grosse part de responsabilité dans cette histoire. Cependant le mainteneur du package Debian a failli également donc c’est aussi Debian qui a failli.

Cette histoire est semblable aux failles dans OpenSSL (Heartbleed notamment). Le fonctionnement actuel laisse passer des grosses aberrations, on doit tous revoir notre façon « de vendre » le Libre car la preuve par l’exemple on n’est pas à l’abri. Malheureusement.

Alors on prend nos responsabilités :

  • La première c’est de dire que le fonctionnement actuel du Libre n’est pas plus sûr que les systèmes proprios parce que le code est ouvert, les exemples commencent à s’accumuler. Il faut reconnaître le problème afin de pouvoir l’assumer pour ensuite le corriger
  • La seconde c’est de rappeler que le système fonctionne avant tout sur la confiance. Et ce n’est peut-être pas/plus suffisant. Est-ce que les paquets installés sur une installation par défaut de Debian ne doivent pas être davantage contrôlés par exemple ? En ces temps post-Snowden, peut-on garantir l’intégrité de tous les développeurs Debian pour ne pas inclure une porte dérobée dans un paquet ?
  • Rappeler à tous les droits et les devoirs de chacun dans la chaîne du Libre. Nous avons des droits mais nous avons aussi des devoirs, pour que le système fonctionne. Faire croire que parce que c’est Libre, c’est sécurisé, c’est faux. La confiance ne doit pas être aveugle, elle doit être réfléchie. Elle ne dispense pas l’utilisateur de se poser des questions, de vérifier, de tester, lui aussi a des responsabilités

Déjà 8 avis pertinents dans Confiance aveugle

  • Ce qui est à l’origine de l’affaiblissement du code Open Source, ce sont tous ces forks et cette dissémination sur des projets qui réinventent en permanence la roue qui tourne !

    Vas-y que je te forke, que je te réécrive un truc qui marche., à tour de bras !

  • Greg
    Bonjour,
    Ton article me rappelle le serpent de mer de la connaissance du code par tout le monde. Et vu que les français ne parlent déjà pas anglais…
    Pour ma part je serais très heureux ne serais ce que de savoir lire un code. Mais je n’ai pas eu l’occasion durant ma scolarité et à présent le temps me manque cruellement. Surtout vu le nombre de langages existants…
    Peut être en as tu déjà parlé mais connais tu des ressources pour apprendre le code ? (Pas seulement les instructions mais également la démarche à suivre, etc.)
    Autre chose comment suivre l’etat de sécurité d’un paquet ? Certains sont anciens mais bien sécurisés, d’autres sont récents et très actifs et pourtant sont mal conçus et mal sécurisées, non ?
  • Il n’y a pas de comportement malveillant dans Xscreensaver donc faut pas non plus pousser.
    Il s’agit d’une pop-up agaçante qui apparaît mais rien de plus (jusqu’à preuve du contraire).

    Il est évident que tous les logiciels ne peuvent pas être audités et ne le seront vraisemblablement jamais donc il faut éviter d’installer tout et n’importe quoi.
    Il faut bien différencier un comportement malveillant d’un bug ou faille de sécurité.

    Concernant Debian, il y a quand même des étapes à franchir pour un logiciel avant d’atterrir dans la version stable. Tout le monde ne peut pas, du jour au lendemain, ajouter son propre logiciel dans les dépôts.
    Si un logiciel/developpeur/mainteneur est décrié par la communauté, le paquet ne sera vraisemblablement plus maintenu, et donc plus disponible dans les dépôts dans les versions futurs. Il semble difficile d’effectuer un contrôle systématique sur tous les paquets disponibles dans les dépôts mais la réaction de la communauté en cas de dysfonctionnement semble tout de même marcher.

  • Netchaiev
    Pour moi, c’est plus du coté mainteneur, que cela a foiré même si le développeur a perdu un peu de respectabilité.

    Ce que l’on oublie vite c’est qu’une distribution n’est pas un produit tout en un. A preuve du contraire les logiciels composants la distribution appartiennent à leur auteurs respectifs CHARGE aux mainteneurs de la distrib de maintenir une cohésion. Si un des logiciels pose problème , il faut soit le corriger, l’éliminer et/ou le remplacer mais pas fermer les yeux en renvoyant les problèmes au dit propriétaire. En terme de sécurité, de stabilité , construire et maintenir une distribution est un énorme challenge. Mais cette sécurité, cette stabilité est de la responsabilité des créateurs/mainteneurs de la distribution . Prendre en « otage » l’utilisateur parce que simplement il y a un problème technique entre un composant et la cohésion de la distribution n’est pas sain.
    Car ce qui est le plus frustrant dans cette histroire c’est que le logiciel fonctionne bien ailleurs mais pas sur Debian. Dire que n’est juste que pour Debian mais il n’y a pas que Debian comme distribution …

Les commentaires sont fermés.