Alors que le service des impôts devrait libérer son code source, cette libération de code devrait également être étendue aux autres services administratifs.

Mais c’est sans compter le Sénat, dont certains membres manifestent encore leur incompétence sur les sujets débattus (incompétence qui va pourtant se répercuter sur 65 millions de personnes).

En effet, selon un sénateur :

Transmettre le code source d’un logiciel permet (...) d’accéder aux informations qui régissent ce logiciel, il n’y a plus besoin de le pirater !

Et aussi :

le projet de loi Lemaire permet aux administrations de refuser la diffusion de certains documents administratifs (dont les codes sources) dès lors que leur divulgation porterait atteinte “à la sécurité des systèmes d'information des administrations”. Selon le député Luc Belot, […] il s’agit de protéger la sécurité informatique des administrations.

(source)

Ils n’ont encore rien compris (ou personne leur a expliqué, mais s’ils avaient demandé, on n’en serait pas là).

Ce raisonnement est complètement crétin : c’est pas parce qu’un algo est caché qu’il est sécurisé.
Si une application est mal foutue, ce n’est pas en cacher le code source qui la rendre plus sécurisée. Ça donne l’illusion de sécurité, mais ce n’est justement qu’une illusion.

Prenons un exemple : quand vous avez une porte protégée par un digicode, le clavier du digicode n’est ni protégé par un verrou ni gardé par un policier. Tout le monde y a accès et tout le monde peut essayer de deviner le code. La sécurité du digicode ne réside pas dans le fait que le clavier du digicode soit accessible ou non. La sécurité réside dans le fait que le code secret soit bien secret. C’est tout.

Dans le code de la cryptographie c’est pareil : le logiciel, le formulaire, le code source n’ont pas besoin d’être secrets, si les clés de chiffrements (les mots de passes, si vous préférez) sont suffisamment sécurisées.
En pratique, ces clés de chiffrement sont très longues et très compliquées. Elles sont générées de façon très complexe, en utilisant des variables aléatoires, impossibles à reproduire même en utilisant le même programme dans les mêmes conditions. La sécurité (et la difficulté d’un bon système de chiffrement) réside là : dans l’unicité du mot de passe grâce au caractère l’aléatoire qu’on injecte dans les clés, puis dans le fait que ces clés soit bien secrètes.

La totalité des grands systèmes de chiffrements utilisés partout, que ce soit RSA, AES, et leur implémentations comme TLS (utilisé sur les sites « https » comme celui de votre banque) ou PGP/GPG et bien d’autres, sont en fait open-source et souvent également libres. Ça ne les a jamais empêchés d’être suffisamment forts pour être utilisés à grande échelle (et de continuer à donner beaucoup de fil à retordre à la NSA).

Si vous voulez retenir quelque chose, retenez ça : en sécurité informatique ce n’est pas l’algorithme qu’il faut cacher. Ce sont les clés (mots de passe) qu’il faut cacher.

De la même façon, cacher le code d’un programme utilisé par les administrations ne rendra pas le système moins vulnérable. Au contraire : s’il y a des failles de sécurité dans un programme lisible par des millions de personnes, alors des millions de cerveaux seront plus à même de les déceler que les 4 ou 5 stagiaires qui font les programmes.

ÉDIT : pour répondre à certaines questions dans les commentaires et pour éviter de dévier.
On parle ici de codes sources financés par l’argent public. Il n’est pas admissible que ceux qui payent pour ça n’y aient pas accès. L’État Français ce sont les citoyens, pas une poignée d’élus.

À ce titre, la question (selon moi) à débattre en général n’est pas si on doit libérer le code source, mais plutôt comment s’y prendre.
Le rôle du sénateur c’est justement de dire si oui ou non il veut rendre au peuple ce qui lui revient de droit. Il n’est pas là pour causer technique comme il le fait.
Pour la seconde question, comment s‘y prendre, c’est ensuite le rôle d’experts et d’ingénieurs en informatique de faire le travail, et d’y parvenir.

24 commentaires

gravatar
nIQnutn a dit :
je suis persuadé que certains sénateurs tentent encore d'utiliser leur minitel.

petite coquille "qui la rendre plus sécurisée".
gravatar
Roustade a dit :
Oui enfin un code visible c'est aussi un code qui expose plus facilement ses failles, chiffrement ou pas. Ca on ne peux pas le nier
.
De plus je ne pense pas que le modèle du libre ne viendrai vraiment s'appliquer ici, faut pas rever, nous ne sommes ni sur des programmes technologiquement "stimulant" ou ambitieux pour que les gens veulent venir y contribuer, ni sur quelque chose qui va potentiellement répondre a un besoin récurent (je vois mal quelqu'un s'instancier une implem du système des impôts ^^).

Après bien sur, ça ne change pas la question du fait de demander aux institution de rendre visible le code de leur applications ou non, la dessus je ne me prononce pas :)
gravatar
John Doe a dit :
Si si, certains ne veulent pas que l'on consulte le code source de certaines applis.

Dernièrement il y a eu un scandale sur l'appli permettant de choisir sa Fac: l'étudiant rempli des cases, fait ses choix, et se voit attribuer une fac. La question, est "comment l'appli choisit la fac en fonction des critères?"
Réponse: on sait pas.

Et beaucoup de gens voudraient bien savoir comment fonctionne l'attribution afin d'optimiser leurs chances d'avoir la fac de leur rêve. Si le code source du logiciel est publié, bim, tout se saura, et les étudiants pourront frauder/optimiser leurs chances (rayer le mot qui ne vous convient pas).

Et c'est bien cet algo là (et pleins d'autres) que le gouvernement ne veut pas voir dans la nature.

Un autre: les contrôles fiscaux qui s'abattent sur les entreprises et les particuliers sont choisis comment? Par quel algo? Là aussi, si les critères étaient publics, tu peux être sûr que des personnes travailleraient dessus pour revendre à leur client des moyens de ne *jamais* être contrôlés. Donc l'état garde bien précieusement ses métriques qui poussent à des contrôles.

etc, etc..


" De la même façon, cacher le code d’un programme utilisé par les administrations ne rendra pas le système plus vulnérable. Au contraire : s’il y a des failles de sécurité dans un programme lisible par des millions de personnes, alors des millions de cerveaux seront plus à même de les déceler que les 4 ou 5 stagiaires qui font les programmes. "

Bin en fait, non, malheureusement ça ne marche pas comme ça. C'est comme le logiciel libre, les sources sont là, mais personne ne les relit. Lire du code, c'est chiant, donc si tu n'es pas payé pour le faire, tu ne le fais pas. Regarde openssl, la lib la plus utilisée dans le monde pour faire de la crypto, dont le code est ouvert, et qui regorge de bugs à n'en plus finir.
gravatar
John Doe a dit :
Je n'ai pas compris l'explication.

Prenons un cas concret.

Imaginons un logiciel de serveur.
Celui-ci contient la faille suivante: "quand je rentre 10^43 dans le premier formulaire, la valeur est mal traitée, cela conduit à une faille qui peut être exploitée".
Je veux utiliser ce logiciel.
Lorsque j'ai accès au code source, je peux:
1) installer le logiciel et utiliser un outil qui va tester les formulaires dans tout les sens (avec une procédure de mon cru, c-à-d appliquée par personne d'autres), simplement pour découvrir ce genre de faille.
2) regarder le code et essayer de trouver ces failles "à la main"
3) une fois que c'est fait, mon plus grand intérêt, c'est de faire corriger cette faille, car ce logiciel, je veux l'utiliser, et je veux que les autres fassent comme moi pour empêcher que la faille soit exploitée chez moi.

Imaginons maintenant un logiciel qui calcule l'impôt pour le gouvernement.
Celui-ci contient la faille suivante: "quand je rentre 10^43 dans le premier formulaire, la valeur est mal traitée, cela conduit à une faille qui peut être exploitée".
Je ne veux pas utiliser ce logiciel: je ne suis pas un gouvernement, je n'ai pas d'impôt à récolter. Je peux l'utiliser juste pour info, pour savoir ce que je vais devoir payer, mais je ne vais jamais l'utiliser pour récolter moi-même de l'argent.
Lorsque j'ai accès au code source, je peux:
1) installer le logiciel et utiliser un outil qui va tester les formulaires dans tout les sens (avec une procédure de mon cru, c-à-d appliquée par personne d'autres), simplement pour découvrir ce genre de faille.
2) regarder le code et essayer de trouver ces failles "à la main"
3) une fois que c'est fait, mon plus grand intérêt, c'est de ne pas faire corriger cette faille, car je peux moi-même profiter de la faille à mon avantage.

Donc, oui, la question de la sécurité n'est pas trivial dans le cas de rendre visible un algorithme d'un logiciel dont:
1) l'accès est protégé (je ne peux pas faire 1000 tests de formulaire sur le site du gouvernement sans me faire repérer, et en faisant ça, je dévoile aussi les tests que j'ai fait, qui peuvent donc dévoiler la faille au gouvernement)
2) l'intérêt n'est pas un usage répandu (la force du logiciel libre, c'est qu'il y a plus de personne qui ont intérêt à faire disparaître la faille que de l'exploiter, mais ce n'est plus le cas ici)

(et je ne vois pas cette histoire de cryptographie: dans l'exemple donné, le fait que le logiciel ou son accès soit chiffré ne change rien)
gravatar
Xavier12 a dit :
Oui, ce genre de déclaration est tellement hallucinante en 2016 que ça me laisse sans voix.
Enfin si, deux réactions me viennent à l'esprit :
* On dirait du jvachez
* On dirait qu'ils répètent les mots d'un autre (sûrement un lobby du logiciel propriétaire, mais qui?)
gravatar
Poli a dit :
La totalité des grands systèmes de chiffrements utilisés partout, que ce soit RSA, AES, et leur implémentations comme TLS


TLS n'est pas une implémentation de AES ou de RSA, c'est un protocole cryptographique qui utilise, entre autre chose, des primitives de chiffrements comme AES.
gravatar
Lapineige a dit :
Très juste.

Dans l'absolu, si l'on excepte les failles de sécurité, si on ne souhaite pas publier le code source par peur de trouer sa sécurité, c'est parce que le système est mal sécurisé et aisément contournable. (Exemple très très bateau: parce qu'on montre que les mots de passe sont transmis en clair)
Et comme tu le dis bien, si au moment de la libération du code cela peut être une course à la faille de sécurité, avec des désavantages si peu de monde se penche dessus, dans ce cas dès le court/moyen terme ça apporte plus de garantie, vu que le nombre de personnes qui vont se pencher dessus sera considérable.
Et comme tu l'indique, la partie clefs de sécurité est en général suffisamment forte, par contre si on peut tromper le digicode (le logiciel), pas besoin d'avoir le code (la clef).

> (utilisé sur les sites « https » comme celui de votre banque)
Hum... ça dépend laquelle.


PS: les clés sont long*ue*s ;)
gravatar
Le Hollandais Volant a dit :
@John Doe : t’en fais pas, il y a des gens dont c’est l’intérêt de corriger ce genre de failles.
Il faut voir les choses bien plus largement : si une telle faille est découverte, tout le monde va en parler, c’est inévitable. Et ça va se voir, et ça va remonter à qui de droit en un rien de temps, avec évidemment un effet rétro-actif pour tout ceux qui auront manqué de payer un impôt.

(et je ne vois pas cette histoire de cryptographie: dans l'exemple donné, le fait que le logiciel ou son accès soit chiffré ne change rien)


Le rapport c’est que le sénateur a voulu parler sécurité informatique (piratage, vulnérabilité, etc.). J’ai pris un exemple sur la sécurité informatique, en particulier le chiffrement.

@John Doe :
les sources sont là, mais personne ne les relit. Lire du code, c'est chiant, donc si tu n'es pas payé pour le faire, tu ne le fais pas. Regarde openssl, la lib la plus utilisée dans le monde pour faire de la crypto, dont le code est ouvert, et qui regorge de bugs à n'en plus finir.


Heu, au contraire : les codes sources sont largement relus. C’est un fait. Certains projets ont plusieurs milliers de participants, et tu peux pas participer si tu n’as pas lu un minimum le code source (ou au moins la partie que tu veux améliorer). Ensuite, des entreprises payent les gens pour relirer, créer et améliorer des logiciels Libres. Google est l’un des principaux producteur de code libre au monde. Et depuis 2017, Microsoft est dans le top 20 des contributeurs au noyau Linux (En 2015, Intel est le premier), et Samsung, Novell et des personnes de plus de 800 entreprises en font partie.
Enfin, citons Red Hat, qui a fait un CA de 2 Md€ grâce au logiciel libre

Quant à OpenSSL, ça fait longtemps qu’il ne faut plus l’utiliser (et par exemple préférer TLS à la place pour le HTTPS).
Mais ça n’est pas propre au Libre : Windows XP est encore largement utilisé aussi…

En revanche, des systèmes de crypto fermés et performants, il n’y en a aucun.
gravatar
Le Hollandais Volant a dit :
@Roustade : Je ne le nie pas, mais ça c’est si on libère le code source et qu’on reste les bras croisés. Dans un monde où on cherche à faire les choses bien, les failles sont plus vites pointés et plus vite corrigés dans du code libre.
Et une faille sera toujours découverte à un moment ou à un autre, code fermé ou ouvert. Et là, le but c’est de corriger ça au plus vite. Dans le cas de code fermé on a parfois vu des failles laissées ouvertes durant des mois sur des projets bien vivants (Windows, IE…) alors que dans le cas de failles majeurs comme heartblead ou autres, c’est une question d’heures pour que le problème soit résolu dans le code (après il faut que la mise à jour soit propagée, mais ce n’est plus du ressort du codeur ça).
gravatar
John Doe a dit :
@Le Hollandais Volant :


Il faut voir les choses bien plus largement : si une telle faille est découverte, tout le monde va en parler, c’est inévitable.


Je te parie 1 millions d'euros que ce sera le cas: tout le monde va diffuser la faille sur les réseaux sociaux et se ruer sur l'application pour exploiter la faille.
Alors, oui, elle sera corrigée, mais en attendant:
1) tout ceux qui auront réagi plus vite que l'administration en auront profité (pas parce que l'administration est lente, mais parce que c'est pas Timo qui va payer du personnel qui font ce genre de surveillance 24h sur 24). Pour rappel, il a fallu 2 jours pour que la grosse partie des entreprises patchent Heartbleed.
2) le gouvernement sera la risée du web, pour des raisons totalement hypocrites parce que personne de sérieux en informatique n'ignore que du code parfait sans faille est une utopie: les failles, ça arrive, c'est normal. Mais cet incident sera sûrement instrumentalisé par les crétins.
3) le bordel qui va suivre, avec ceux qui prétendront ne pas avoir exploité la faille, et ceux qui auront en effet pas exploité la faille mais qui seront des faux-positifs

Bref, désolé, mais les textes que tu cites sont au contraire pas si bêtes que ça.
Bizarrement, cet aspect t'avait totalement échappé, et tu te rattrapes aux branches assez mal (tu penses vraiment que je supposais que la faille ne serait pas dévoilée, alors que c'est aspect est évident ?). Selon tes standards, tu devrais travailler au gouvernement, toi.

Le rapport c’est que le sénateur a voulu parler sécurité informatique (piratage, vulnérabilité, etc.). J’ai pris un exemple sur la sécurité informatique, en particulier le chiffrement.


Un exemple qui justement ne s'applique en rien à la situation et donc ne prouve rien du tout.

Vu que le texte dit aussi "plus besoin de le pirater" (ce qui est 100% correct: si les sources sont fermées, le seul moyen d'en faire tourner une instance sur un poste personnel pour l'étudier, c'est de le pirater).
Du coup, ça voudrait dire que ç'aurait été intelligent de ta part de commencer à expliquer que la copie n'est pas du vol ?
Non désolé, parler du chiffrement est simplement à côté de la plaque.

(sinon, je peux répondre aussi sur la seconde partie, qui répond à un second John Doe.
Tu dis que c'est un fait que les codes sources sont largement relus. Donne nous un chiffre qui prouve cela.
Au niveau des faits, on trouve régulièrement des failles dans des logiciels qui pourtant sont des références (et qui donc attirent plus les lectures). Cela ne veut pas dire que ce ne sont pas des exceptions, mais simplement que déconnecter son cerveau simplement en se rassurant sur un vœux pieux est stupide. Quant au lien entre la participation et les gains du libre et la review du code, c'est simplement un non-sequitur. Ç'aurait été plus malin de mettre en avant les initiatives de recherches et corrections de failles)
gravatar
John Lemon a dit :
Il y a aussi un autre problème : c'est bien beau que le logiciel soit libre et open-source, mais quelles garanties a-t-on que c'est bien précisément cette source qui est adoptée lors de l'utilisation d'un service / téléchargement d'un binaire, et pas justement une version modifiée ?
gravatar
Dorna a dit :
Grand débat. Si tes lecteurs sont compréhensifs, libérer son code peut etre positif. Si non, ....
Par exemple, j'écris un petit prog sympa sur linux, je publie le code, quelques amis barbus qui l'utilisent m'aident à le corriger, c'est sympa. Mais imaginez (prenez un siège, l'effort d'imagination va etre énorme) imaginez donc que microsoft publie le code de windows (j'avais dit de s'asseoir). La ca va etre une armée de barbus, pas obligatoirement amis, qui vont éplucher le code.... Et attention, les retours peuvent etre terribles. Il y a de fortes chances que les dev de Microsoft tournent au Guronsan pendant plusieurs nuits. Alors rajoutez à ca que les dev la, sont fonctionnaires, et je comprend que tout le monde ne soit pas chaud pour publier...
Bon maintenant, je suis pas sur que les senateurs savent de quoi ils parlent, mais ca, ca concerne pas que l'informatique
gravatar
Le Hollandais Volant a dit :
@John Doe :
Selon tes standards, tu devrais travailler au gouvernement, toi.

C’est décidément habituel chez toi d’allier les attaques à la connerie.
Pour la réponse à tes points, j’avais commencé à écrire jusqu’à arriver à ce passage. Tu enverras donc une LRAR en triple exemplaire au gouvernement pour l’avoir.

@John Lemon : lors d’un service dans le cloud par exemple, on n’a pas de garanties justement. C’est pour ça que les discours de Google ou autres qui disent que leurs serveurs utilisent du libre sont du flan.

Mais pour certaines choses, comme pour le calculateur d’impôts par exemple, on peut quand même vérifier que l’algo utilisé et celui qui est publié sont identiques : il suffit de vérifier que les deux sortent le même montant à payer pour les mêmes revenus en entrée. Ici, c’est l’algo qui est important.
Pour le reste des services, c’est un peu la même chose : il s’agit de comparer ce qui sort du logiciel par rapport à ce qu’on entre.

Pour le téléchargement d’un binaire, ça se vérifie aussi : la compilation des sources en un fichier binaire (.exe, .bin, …) font entrer pas mal de variables dépendant de la configuration du système qui compile les sources. Mais si on a la même configuration (mêmes bibliothèques logicielles, mêmes versions de compilateur et ainsi de suite) on obtiendra le même fichier binaire. La comparaison se fait ensuite avec une signature SHA1 ou MD5.
Si les signatures sont identiques, on peut être sûr que les fichiers générés sont identiques, et donc que les sources utilisées le sont également.

C’est comme ça que sont faits certains audits de fichiers binaires.

@Dorna : Microsoft devrait libérer le code source de Windows XP en juin (XP est quand même encore largement utilisé dans certains milieux).
Que les dév de crosoft soivent bosser durant un moment, c’est un autre problème, purement matériel : Microsoft peut aussi embaucher 5000 dév en plus pour tout corriger plus vite. C’est à eux de voir ce qu’ils veulent : laisser les failles ouvertes longtemps ou non.

Pour les fonctionnaires, c’est pareil : après faut que l’État prenne ses responsabilités. Je n’ai pas dit que tout sera gratuit non plus, et puis un dév il est payé pour pour coder, pas pour se tourner les pouces (autrement, c’est dehors).

Mais tout ça, bien que de vrais problèmes qui sont évidemment à prendre en compte, surtout pour un logiciel de l’État utilisé par des millions de personnes, ça ne doit pas être quelque chose qui empêche totalement un code de se libérer. On parle quand même d’un code source financé par nos impôts, et il devrait revenir aux citoyens quoi qu’il en soit.


Pour reformuler l’ensemble de l’article : la question à se poser n’est donc pas si on ouvre le code mais comment on l’ouvre. Or ce n’est pas ce que veut ce sénateur.
Et pour ça, les sénateurs ne me semblent pas désignés pour donner des solutions (ce n’est pas leur métiers non plus).
gravatar
Frnck a dit :
Moi je suis pas"pour qu' on libère le code source des institutions publiques. Et même au contraire. Pourquoi ne pas plutôt demander la libération du code source des grandes entreprises, dont les moyens considérables utilisés pour "sécuriser" leurs données et leurs fraudes,portent préjudices aux politiques publiques, justement , et seront à même de mettre en péril, techniquement, toutes leurs infrastructures numériques ?
C est bien là qu' est l intérêt public vers lequel orienter les bonnes volontés des codeurs "anarchistes":asservir les puissants, au profit de tous...
gravatar
Le Hollandais Volant a dit :
@Frnck : parce qu’une entreprise privée est… privée. On ne peut pas dicter quoi que ce soit sur ça.
Une institution publique, c’est nous : nous sommes le public, nous payons pour ça. C’est sensé être non-lucratif. Il n’y a donc aucune raison de garder secret ce que le public finance.

On demande bien à ce que les textes de loi soient rendus publics. Étant donnée que ce sont ces textes qui gouvernent la société, ça serait bête de laisser leur accès uniquement à la police (qui est là pour faire appliquer ces textes), qui pourront dire arbitrairement "tu n’as pas le droit de faire ceci-ceci, je te verbalise" sans que tu puisse savoir si c’est vrai ou pas.

Le code source c’est un peu pareil : pour les impôts par exemple, pour savoir qui paye quoi et quand, il faut des règles, des lois (ici, un programme informatique). Si tout ça est opaque et laissé à la discrétion de la DGFP (les finances publiques), personne ne sait si le montant des impôts est arbitraire ou non.

Il en va de même pour tous les services administratifs. Ce sont des services : ils sont là pour nous, grâce à nous (qui les finançons). Il est normal de savoir comment ces services fonctionnent pour éventuellement signaler des problèmes, pointer des injustices et proposer des changements.

Ce n’est pas une question de code-source uniquement, c’est une question d’égalité, de démocratie.

Il est clair que tout le monde ne saura pas lire un code source et savoir ce que ça fait, mais ça n’est pas grave : tout le monde ne sait pas non plus comment fonctionne le code de la consommation ou le code des finances (ou n’importe quel autre loi). Mais tout le monde pourra mandater quelqu’un pour faire un audit. Et ceux qui ont les compétences pourront le faire aux-même. D’ailleurs, ce n’est pas une question de laisser tout le monde analyser un code source, c’est d’en donner la possibilité, et quand on peut faire quelque chose, ça s’appelle la liberté.


dont les moyens considérables utilisés pour "sécuriser" leurs données et leurs fraudes,portent préjudices aux politiques publiques, justement , et seront à même de mettre en péril, techniquement, toutes leurs infrastructures numériques ?
C est bien là qu' est l intérêt public vers lequel orienter les bonnes volontés des codeurs "anarchistes":asservir les puissants, au profit de tous...


L’évasion fiscale est légale, sinon ça ne ferait pas (ou du moins ça serait réprimandé). C’est donc la loi qu’il faut changer. Les pratiques suivront forcément.
gravatar
jefaispeuralafoule a dit :
Comme l'a dit très justement un des commentateurs, il y a une différence radicale et inévitable entre outil mis à disposition au plus grand nombre (multiplication de l'installation), et outil centralisé unique.

Pourquoi?

Parce qu'il s'agit déjà de raisonner comme suit:
- Lorsqu'un outil est central (site institutionnel), mettre à disposition le source sous-entend qu'en cas de faille, SEUL ce site sera la cible, et donc en cas d'attaque/hack l'impact sera sur tous les utilisateurs, puisque la donnée sera concentrée sur un seul et même endroit
- Lorsque l'outil est multiplié (disons par exemple un forum php), l'attaque sera alors ciblée sur un/x site(s), ce qui réduira forcément son impact.

De fait, dire "il y a plus d'intérêt à voir la faille corrigée qu'à la voir exploitée" est précisément excellente concernant l'open-source distribué, mais contre productive concernant les outils centralisés comme un site institutionnel.

Me concernant, je ne trouve pas du tout crétin de protéger son source, loin s'en faut. Cas d'école, je bosse chez un éditeur. Nous avons du code qui est potentiellement recyclable par la concurrence (admettons des imports/exports de flux, ou encore des règles de gestion complexes dans notre domaine). Pourquoi fournir au concurrent la possibilité de reproduire sans effort notre boulot? Autant leur dire "servez-vous!" et se faire bouffer si le concurrent a un peu plus de moyens...

Dernier aspect et non des moindres: il serait autrement plus judicieux de demander les règles de fonctionnement générales, et pas nécessairement le code associé. Typiquement, dans le cas de la sélection des fac, pourquoi ne pas donner explicitement la règle de gestion plutôt que de voir fleurir le risque d'un bidouillage d'un/x élève(s) soucieux de contourner les règles?
gravatar
Le Hollandais Volant a dit :
@jefaispeuralafoule :
Me concernant, je ne trouve pas du tout crétin de protéger son source, loin s'en faut. […/…] Autant leur dire "servez-vous!" et se faire bouffer si le concurrent a un peu plus de moyens...


C’est exactement ce que je dis ici : http://lehollandaisvolant.net/?mode=links&id=20160423141433
Je comprends parfaitement le besoin de la possibilité d’avoir des sources fermées, par exemple pour le cas que tu expliques.

Sauf qu’ici on n’est pas sur un logiciel d’une entreprise, mais celui de l’État.
Si l’État invente quelque chose d’utile sur l’argent public il est normal selon moi que le peuple (aussi bien le particulier que les entreprises : les deux payent des impôts) puisse en profiter et exploiter ça aussi.

En gros, toute la R&D fait par un État appartient au contribuable, aussi bien particulier, que privé, que public. Le point que je défend est là. Après on est d’accord ou pas, c’est selon. Mais pour moi c’est une partie problème, et tout le reste est un problème technique qu’il convient d’analyser dans un débat à part (cf mon « édit » sur l’article).

Typiquement, dans le cas de la sélection des fac, pourquoi ne pas donner explicitement la règle de gestion plutôt que de voir fleurir le risque d'un bidouillage d'un/x élève(s) soucieux de contourner les règles?


Exactement !
Pour le calculateur des impôts, c’est d’ailleurs ça qu’on demande : ce qui intéresse c’est l’algorithme (pour voir si on se fait pas @µ£ù*~). Après je m’en fiche un peu de la version PHP/ASP utilisée sur leur serveurs. Mais il y a sûrement d’autres personnes que ça intéresse, et c’est leur droit aussi.

Maintenant, si on demande le code-source, c’est parce qu’à l’ère du numérique c’est le code source qui est important, et qui contient toute les informations et leur implémentation. Et puis aussi parce que c’est produit par l’argent du contribuable.

il y a une différence radicale et inévitable entre outil mis à disposition au plus grand nombre (multiplication de l'installation), et outil centralisé unique. [et ce qui suit]


Je comprends bien, mais pour moi c’est un problème technique, pas un problème d’avoir le droit d’accès à ce que fait l’État avec mes impôts.
En gros, cette raison n’est pas suffisante pour justifier un refus de passage en open-source (ou Libre hein) du code utilisé dans les institutions publics (voir mon « édit » sur l’article).
gravatar
RilaX a dit :
Je trouve l'analogie open-source / législation très pertinente.
Je pense qu'il y a quelque chose à creuser de ce coté pour la pédagogie.

Il paraitrait inconcevable que les lois qui nous régissent ne soit pas open-source.
"Non mais vous imaginez, si les lois étaient divulguées au public, il y aurait des petits malins qui les éplucheraient pour les contourner !" C'est marrant en écrivant cette phrase (reprise d'un commentaire à propos du libre) je me rend compte que je décrit le métier d'avocat. Dans le numérique, la personne qui ferait la même chose est un pirate...
gravatar
legaffeur a dit :
Oui enfin un code visible c'est aussi un code qui expose plus facilement ses failles, chiffrement ou pas. Ça on ne peux pas le nier


Et par conséquent peut-être corrigé plus facilement, ça on ne peut pas le nier non plus!


@John Doe

beaucoup de gens voudraient bien savoir comment fonctionne l'attribution afin d'optimiser leurs chances d'avoir la fac de leur rêve.

Un autre: les contrôles fiscaux qui s'abattent sur les entreprises et les particuliers sont choisis comment? Par quel algo? Là aussi, si les critères étaient publics, tu peux être sûr que des personnes travailleraient dessus pour revendre à leur client des moyens de ne *jamais* être contrôlés. Donc l'état garde bien précieusement ses métriques qui poussent à des contrôles.

La machine ne peut pas remplacer l'homme à 100% Il y a des tâches qui doivent être contrôlées par la main de l'homme. Pourquoi crois-tu que le vote électronique a échoué ?

Je te parie 1 millions d'euros que ce sera le cas: tout le monde va diffuser la faille sur les réseaux sociaux et se ruer sur l'application pour exploiter la faille.

Euh, et la corriger aussi non ?
Je te parie 1 milliard d'euros que la faille sera corrigé avant que des petits gugus comprennent comment l'exploiter.

Je refuse de faire confiance à une société privée pour gérer ma vie privé! Je n'aurais confiance en une telle société que si c'est moi qui la contrôle de a à z ou si cette dernière me donne le contrôle totale de mes données (ce qui n'est bien sûr jamais le cas et ne le sera jamais). Peut importe la politique d'une société, si leur logiciel est une boîte noire, je ne pourrais me sentir en sécurité. D'où l’intérêt que les logiciels soient ouverts et modifiables par tous (et qu'ils le restent) sans en tirer d'intérêt financier (=sans être corrompus). L'intérêt général primant toujours sur le reste, je ne voit pas de frein à cette évolution naturelle vers le logiciel libre. Cela aspire à plus de transparence, de sécurité et surtout de confiance (une entreprise y réfléchira à deux fois avant de prendre ses clients pour des pigeons car cela aura une mauvaise répercussion sur sa popularité).
gravatar
jefaispeuralafoule a dit :
@Hollandais:
Le raisonnement du "je paye j'achète les sources" est parfaitement faux!!!
Des exemples du quotidien:
- Tu achètes un produit de grande consommation, tu en achètes l'usage, le produit physique/logique (soft) mais certainement pas les plans techniques ou les sources logicielles.
Pour le domaine de l'état:
- tu payes la construction et l'usage d'équipements (ponts, routes, trains...). Ils sont mis à disposition des usagers, mais certainement pas les plans qui vont avec. Ton raisonnement devrait donc imposer à Alsthom de te filer les plans du TGV puisque ce sont des subsides d'état qui les financent? Tu penses pouvoir disposer des plans techniques d'une centrale nucléaire pour les mêmes raisons?
- Usage!=propriété. C'est tout de même clair non? Tu as le droit de SAVOIR les règles appliquées à un calcul (impôts... qui sont dispo tant sur le net en pdf, que dans n'importe quel trésor public de France), mais ça n'impose pas pour autant que tu aies à connaître le code source de l'appli qui fait le calcul en question.

RAPPEL: nous sommes des USAGERS, pas les PROPRIETAIRES. Il est complètement incohérent de croire que l'espace public, les outils mis à notre disposition ou quoi que ce soit détenu par l'état nous "appartient". nous sommes des usagers de services, et c'est l'état, en propriétaires légal (foncier et autres) qui dispose à sa discrétion de ses propres biens.
Exemples caricaturaux: avec ce raisonnement tu devrais pouvoir prendre une voiture de police à ta guise et la conduire sans restriction. Tu devrais pouvoir t'installer à ta convenance dans n'importe quel appartement de fonction détenu par l'état... Et tu vois bien que cela ne fonctionne pas DU TOUT comme ça.


- Ce n'est pas parce que les sites sont en ligne que l'état est propriétaire des sources...
gravatar
Le Hollandais Volant a dit :
@jefaispeuralafoule :
Tu achètes un produit de grande consommation, tu en achètes l'usage, le produit physique/logique (soft) mais certainement pas les plans techniques ou les sources logicielles.


Et c’est un problème, justement ! L’open-source/Libre ne touche pas seulement au code-source des programmes. C’est pas pour rien qu’on voit apparaître des maisons open-source, des meubles open-source et bien d’autres !

Si j’achète un iPhone : on m’empêche de le réparer, on m’interdit d’accéder à mes fichiers car des composants ont changés, on m’interdit l’usage d’un chargeur de remplacement car il n’est officiel. Pareil pour le reste : tout est fait pour pousser à la consommation, plutôt que réparer, améliorer. Si j’avais les plans pour réparer mon smartphone, ça ne serait pas autant la galère pour remplacer un écran pété.

Mon PC par exemple, un Clevo, je dispose d’un PDF de 100 pages avec les plans détaillés et même les sets d’instruction propres à cette machine. Si seulement tout pouvait être ainsi !

Ton raisonnement devrait donc imposer à Alsthom de te filer les plans du TGV puisque ce sont des subsides d'état qui les financent?

Non : l’État demande un produit, pas les plans. Si l’État employait lui-même les ingénieurs pour faire le plans, oui en revanche.

Tu penses pouvoir disposer des plans techniques d'une centrale nucléaire pour les mêmes raisons?


Ça revient à ce que je dis dans l’article : si tu considère que cacher les plans (en espérant que personne ne les trouve) c’est suffisant pour la sécurité, c’est ton problème. Perso je ne m’en tiendrai pas seulement à cette mesure.

Tu devrais pouvoir t'installer à ta convenance dans n'importe quel appartement de fonction détenu par l'état... Et tu vois bien que cela ne fonctionne pas DU TOUT comme ça.


Non, car n’importe quel citoyen pourrait me dire de sortir. L’appartement n’était pas entièrement à moi. Mais je considère qu’il y a 1 cm² quelque part qui est payé par mes impôts. Et ça me donne droit, comme tu dis, à en être usager à part entière, comme n’importe qui.

Ce que je dis en plus, et que je considère également, c’est d’avoir un droit de regard sur le fonctionnement d’une institution ainsi que ses comptes (c’est même dans la DDHC, articles 13/14/15). Et ça passe pour avoir la possibilité d’inspecter les codes sources et constater qu’il n’y a rien de louche dedans (et de le dire si il y en a).

Ce n'est pas parce que les sites sont en ligne que l'état est propriétaire des sources...


Qui est « propriétaire » de l’État, à ton avis ?
gravatar
David a dit :
Bonjour,
Je découvre avec intérêt votre site internet. Vos articles sont pertinents et font réflechir :)
Je ne suis pas assez caler pour dire qui a tord ou raison, mais votre raisonnement est complètement logique ! Quand on ne sait pas, on doit savoir s'entourer de personnes qui savent.

Je vais lire le reste du blog.

Les commentaires sont fermés pour cet article