Un logiciel open-source est un logiciel dont le code source est public, lisible et que l’on peut étudier.Les pirates aussi peuvent donc l’étudier, et repérer les failles de sécurité pour les exploiter.
Pourtant, cela ne signifie pas que le programme est moins sûr que son homologue dont le code source n’est pas disponible.
Imaginons que l’on ait un lecteur d’empreintes digitales pour une porte qui n’accepte que les empreintes d’Alice. Seule Alice est en mesure d’ajouter une personne autorisée à entrer.
Oscar (le pirate) n’est pas autorisé, mais il connait le fonctionnement du lecteur d’empreintes (ce dernier est open-source). Oscar sait donc que seule Alice peut le faire rentrer.
Le système est-il moins sûr ? Non : Oscar ne peut rien faire. Il a beau connaitre le fonctionnement de la machine, il n’a pas les mêmes empreintes digitales qu’Alice.
Si on suppose qu’Alice fait très attention et que ses empreintes ne sont pas dans la nature, alors la porte est totalement sûre.
On voit donc qu’il ne faut pas confondre le système de sécurité lui-même (le lecteur d’empreintes, le cadenas...) et les codes d’accès (les empreintes, la clé...). Ici, le système est sécurisé tant que la clé est bien cachée, et ceci même si on connait le fonctionnement interne du système.
La sécurité dans le mode open-source réside donc dans le fait de bien cacher les clés plutôt que cacher le fonctionnement du système. Et c’est bien : si la clé était sous le tapis, alors on en aurait rien à faire que le lecteur d’empreintes digitales soit open-source ou pas : vu qu’on a la clé il est possible de rentrer dans tous les cas.
D’ailleurs, le fait de publier le code source permet à tout le monde de pointer les erreurs et donc une correction plus rapide des failles éventuelles.
(Après, rien n’empêche un logiciel dont le code-source n’est pas disponible au public d’être sécurisé quand même : c’est juste que cette notion de « sécurisé » ne sera pas attestée par toute une communauté experte, mais seulement par une poignée d’ingénieurs.)