[Toulibre] Libre et sécurité

lafrech at altern.org lafrech at altern.org
Mar 31 Jan 10:12:49 CET 2006 

>
>> Comme l'ont très justement indiqué d'autres personnes, la "sécurité
>> par
>> l'obscurité" est une forme de sécurité bien faible.
>
> C'est évident. On le voit partout écrit, on l'a bien compris.
>
> Seulement je ne vois pas en quoi ouvrir les sources améliorera la
> sécurité si l'ouverture des sources n'engendre pas la création d'une
> communauté réactive.

Je suis assez d'accord. Tout le monde ici s'accorde sur les bienfaits de
l'ouverture du code, etc... Mais dans ce genre de cas, ouvrir le code ne
sert à rien si personne n'y regarde. En revanche cela peut aider des
personnes mal intentionnées.

Comment être sûr que des personnes compétentes y regarderont ? Qu'une
communauté apparaîtra ?

Qd bien même on arrive à convaincre les développeurs, comment peuvent-ils
être rassurés qd à la réaction de leur hiérarchie en cas de problème ? (Un
pb étant une faille découverte et exploitée par des personnes mal
intentionnées avant d'être corrigée par la communauté) Car ils seront
responsables. (Et qd on connaît un peu la hiérarchie de l'Education
Nationale...)

On imagine d'ailleurs assez bien la contrepub pour le logiciel libre dans
un tel cas de figure. Et la frénésie d'achat de solutions toutes fermées
'made in Redmond'. Arghh, rien que d'y penser...

La méthode "source ouverte" fonctionne, je crois, si le code est un
minimum 'approprié' et 'bétonné' par la communauté _avant_ d'être mis en
oeuvre. Le processus de correction/sécurisation est une course et pour
gagner autant partir avec de l'avance.

Si le code est ouvert demain, il est d'ailleurs possible qu'une communauté
de développeurs préfère partir de 0 que de l'utiliser s'il ne lui convient
pas. Et dans l'intervalle le logiciel sera utilisé tel quel, mais ouvert,
en plus.

Donc la solution est peut-être moins l'ouverture du code existant que le
codage depuis 0 en source ouverte d'un logiciel équivalent.

Et il me semble que l'appréhension des développeurs est légitime. (<- je
ne pense pas que qqn ici ait dit le contraire).

Jérôme L.

Plus d'informations sur la liste de diffusion Toulouse-ll