|
||||||||||||
|
|
Open SourceOpen Source - Qu'est-ce que c'est ?
Source
Nom que l'on donne aux "codes" écrits par les programmeurs lorsqu'ils écrivent un programme. On parle de "Code Source" (dans le langage qu'il a choisi d'utiliser : Java, C++, Pascal, Fortran, Php, Cobol, Lisp, Algol, Basic...). Ce nom est masculin : "le code source" et, par abréviation, "le source". Open Libre et Ouvert - Public. Le code source des programmes "Open source" est public. Ceux qui souhaitent l'avoir, le regarder, le modifier, y contribuer etc. ... peuvent se le procurer. Il s'agit exactement de l'inverse des programmes "propriétaires" dont le code source est tenu secret. Open source et sécurité informatique Le débat fait rage entre les tenant des codes propriétaires (normal, ils en font commerce, comme Microsoft) et les tenant des codes libres et ouverts. Les tenants des codes propriétaires avancent comme argument que les codes sources ouverts permettent aux crapules d'étudier le code et d'y trouver les failles pour lancer des attaques. Les tenants des codes ouverts avances que ceux-ci sont analysés par des milliers, des centaines de milliers de programmeurs acquis à la cause des logiciels en Open Source, libres et gratuits, et que les failles, s'il y en a, sont ainsi très rapidement corrigées. Il faut corriger ce mythe des relectures des codes sources de l'Open Source par tout le monde : les programmeurs ayant une vision globale d'un grand projet et capables de lire le code dans le détail en matière de sécurité sont extrêmement peu nombreux au monde. Ils sont généralement cantonné à un travail sur une routine particulière. Il faut aussi tordre le coup au mythe du reverse engineering des codes fermés pour remonter au code source. Un logiciel propriétaire doit faire l'objet d'un reverse engineering pour en reconstruire le code et comprendre ce qu'il fait puis y découvrir les failles ce qui ajoute une étape longue et particulièrement pointue aux attaques contre les logiciels propriétaires. En réalité ils subissent le plus souvent des attaques beaucoup plus rapides, de type force brute, jusqu'à trouver les failles - sans passer par du reverse engineering (et la découverte de failles "par hasard" et le plus grand pourvoyeur d'attaques contre les logiciels fermés). En terme de réactivité, il faut reconnaître que les tenants de l'Open Source ont raison et que les logiciels Open Source font preuve d'une réactivité sans aucune commune mesure avec les tenants des logiciels propriétaires. Ce qu'il faut donc retenir : les corrections de failles sont faites infiniment plus rapidement dans le monde de l'open source que dans le monde du code fermé.
Une étude publiée en septembre 2007 a été conduite auprès de 1.000 responsables informatiques de la région Asie / Pacifique (Australie, Chine, Inde Corée). Il s'agit d'évaluer la pénétration des technologies en open source avec, notamment, les raisons de leur déploiement. L'accès à l'étude complète est payant mais IDC en a publié un abstract. On peut voir, sur ce graphique, que la première raison de l'adoption de l'Open Source par les grands responsables est la meilleure réponse en terme de sécurité (puis viennent des raisons budgétaires, un bon support offert par les vendeurs et de meilleurs outils de gestion et utilitaires). On peut voir, également, que la recommandation par une entreprise amie a une certaine influence et on peut dire que les "conseilleurs" sont satisfaits de leurs solutions Open Source au point de les recommander. La perception d'une meilleure sécurité dans les logiciels Open Source plutôt que dans les solutions fermées chez les grands responsables informatique est une donnée rationnelle et pragmatique, éloignée des considérations irrationnelles, philosophiques ou culturelles, qui font aussi, souvent, aimer l'Open Source et haïr le code fermé. Les logiciels en "Open source" doivent répondre à des critères précisés par l'Open Source Initiative (OSI) et les contrats de licence doivent spécifer ces engagements de respect de ces critères. Une autre désignation est "Free Software" dont les critères sont précisés par la Free Software Foundation (FSF). Beaucoups de différences entre les deux se sont estompées avec le temps. Il reste que les logiciels en Open Source ne sont pas forcément gratuits et que les logiciels gratuits ne sont pas forcément en Open Source. Le plus grand exemple de famille de produits Open Source, gratuits ou commerciaux, est Linux de Linus Torvalds et tous ses avatars (les "distributions Linux" et les dérivés) bien qu'écrits et publiés sous forme, non pas de "Open source" mais de "Logiciel Libre" (licence GNU dont l'approche est plus "philosophique"). Tous les "projets" et applications comme Apache, FreeBSD, Mozilla, Firefox, Thunderbird, MySQL, OpenOffice... sont des projets Open source. Open source et pérénité des projets informatique Informaticien depuis 1968, jamais un grand projet de développement n'a été accepté par mes clients sans que le code source ne leur soit accessible en cas de défaillance de ma part. Ceci se faisait, en ce qui me concerne, par le dépôt dans un coffre, en banque, des listings, de la documentation et de supports magnétiques avec les codes source à jour et remis à jour au moins 1 fois par mois. Open source et confidentialité des données Aucune entreprise ne devrait s'en remetre, les yeux fermés, à des applications fermées, d'autant que des bruits de présence de portes dérobées (backdoor, NSA Trapdoor etc. ...) à tous les étages accompagnent ces produits propriétaires. Le problème ne se pose pas avec les applications "Open Source" dans lesquelles tout un chacun peut analyser le code et ce qu'il fait. |
|
|
||||||||
|
||||||||||||
|
||||||||||||
Rédigé en écoutant :
Music |
||||||||||||