IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Doit-on permettre au public d’inspecter le code source des logiciels propriétaires ?

Votants
141. Vous ne pouvez pas participer à ce sondage.
  • Oui, c'est une option envisageable

    102 72,34%
  • Non, cela ne devrait pas être permis

    24 17,02%
  • Je ne peux pas me prononcer

    15 10,64%
Actualités Discussion :

Dieselgate : Volkswagen va débourser entre 750 et 830 millions d'euros en Allemagne

  1. #21
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Il ne s'agit peut-être pas d'ouvrir le code propriétaire, car je suis convaincu que le code libre et fermé peuvent coexister. Il s'agit peut-être d'un éveil de conscience collective sur ce que ça signifie d'être un développeur professionnel.
    Saut qu'il est possible d'être un développeur professionnel en étant salarié d'une entreprise et de développé un logiciel open source.
    Open source ne signifie pas amateur, loin de là.
    De même, une licence fermée ne signifie en rien "développée par des professionnels"

    On fait le raccourci, à tort, qu'une licence propriétaire est réservée aux entreprises alors que ce n'est qu'une histoire d'argent.

  2. #22
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    Novembre 2002
    Messages
    8 964
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2002
    Messages : 8 964
    Points : 28 430
    Points
    28 430
    Par défaut
    la question est intéressante mais le parallèle est foireux

    l'inspection des ascenseurs ne regarde pas comment celui-ci fonctionne, mais si celui-ci respecte les normes (enfin j'imagine)...c'est exactement la même chose pour les véhicules dont les émanations sont contrôlées.

    le problème ici n'est pas dans l'inspection mais bien dans une méthode frauduleuse pour tromper l'inspection. Un peu comme si l'ascenseur détectait la présence d'une inspection pour refuser plus de 250kg alors qu'en temps normal il accepterait une surcharge dangereuse pour les usagers.

    d'ailleurs ce que ne précise pas l'article DVP c'est que c'est une ONG qui a mis en évidence la tromperie sans avoir à étudier le code source, ils ont simplement effectués des mesures sur le terrain. En informatique ça se produit aussi quand des usagers s'intéresse aux trames réseaux qui sorte de leur machine, aux ports d'écoute etc...sans étudier le code source il reste possible d'analyser son comportement.
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  3. #23
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    Citation Envoyé par eulbobo Voir le message
    Le fait que l'électronique contrôle presque tout sur certaines voitures fait en sorte qu'une personne mal intentionnée pourrait
    - ouvrir ta voiture
    - désactiver l'alarme
    - démarrer ta voiture
    - activer l'alarme
    - obliger ta voiture à s'arrêter n'importe où (certains systèmes permettent de contrôler les freins)
    - couper la direction assistée
    - couper le moteur
    - déclencher de fausses alarmes
    - suivre le moindre de tes déplacements

    etc...

    Bref, c'est déjà pas super sécurisé, si en plus les hackers ont le droit de faire du hack en white box et plus en black box, ça va vraiment être la fête du slip (si vous me permettez l'expression)


    Après, la solution est peut-être de mettre moins d'électronique, ou que ça ne soit plus connecté sur l'extérieur (mais reste alors les problèmes liés au vol potentiel de voiture)...
    Et si la solution était plutôt de sécuriser le système, plutôt qu'espérer que l'obscurité suffira pour éviter les intrusions, ce que tout le monde sait être une dangereuse illusion ?

  4. #24
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    Citation Envoyé par eulbobo Voir le message
    Parce que si tu es sur l'autoroute à 110 et qu'un petit malin réussi à faire piler ta voiture, c'est un danger pour la sécurité ...
    Si tu es à 110 sur l'autoroute et qu'on te désactive tes freins, c'est un danger pour la sécurité...

    Désolé, j'ai pas détaille en quoi ça pourrait être un danger aux personnes, ça me semblait évident...


    C'est exactement le même genre de sécurité en informatique : tu évites de mettre ton code source à dispo de tout le monde quand tu veux être sûr de ne pas te faire défoncer ton site.
    Donc je pense que c'est pas limité aux années 40 ^^

    Sauf qu'avec une voiture, tu risques de tuer des gens.


    Les deux sont liés quand on parle de boites métalliques d'environ 1 tonne qui peuvent dépasser les 150km/h
    Merci d'expliquer d'abord le rapport entre publier le code et quelqu'un réussissant à faire piler la voiture. On n'est pas sur Clubic, ici !

  5. #25
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2004
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Juin 2004
    Messages : 374
    Points : 1 399
    Points
    1 399
    Par défaut
    Citation Envoyé par eulbobo Voir le message
    Parce que si tu es sur l'autoroute à 110 et qu'un petit malin réussi à faire piler ta voiture, c'est un danger pour la sécurité ...
    Si tu es à 110 sur l'autoroute et qu'on te désactive tes freins, c'est un danger pour la sécurité...

    Désolé, j'ai pas détaille en quoi ça pourrait être un danger aux personnes, ça me semblait évident...
    Je pense que tu ne comprends pas ce que veut dire Marco46.

    Oui si quelqu'un arrive à faire ça, c'est un danger pour la sécurité.

    Mais en quoi le fait de donner le code source des logiciels contrôlant la voiture permet de faire ça ?

    Des tas d'exemples, surtout dans le monde de l'informatique, montrent que partager le code source augmente la sécurité. J'imagine que:
    - Comme tu sais que ton code source sera lu par beaucoup de monde, tu en prends plus soin.
    - Si ton code est pourri, des experts s'en rendront compte et le diront au grand public : ton produit ne sera plus acheté.
    - Si ton code est bon mais a des faiblesses, des experts s'en rendront compte et le diront au grand public : tu pourras corriger ces faiblesses et proposer une mise à jour dans les plus brefs délais.
    - Si quelqu'un arrive à plier ta voiture en deux, tout le monde s'en rendra compte et même Kevin qui ne code qu'en JavaScript ira fouiller ton code pour essayer d'être le premier à trouver où était la faille.

    Citation Envoyé par eulbobo Voir le message
    C'est exactement le même genre de sécurité en informatique : tu évites de mettre ton code source à dispo de tout le monde quand tu veux être sûr de ne pas te faire défoncer ton site.
    Alors là tu viens de dire une groooooooooosse bêtise.

    La sécurité en informatique, c'est donner son code à tout le monde et être sûr que tu ne te feras pas défoncer ton site. Sinon, on appelle ça prier.

  6. #26
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 409
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 409
    Points : 4 713
    Points
    4 713
    Par défaut
    Citation Envoyé par eulbobo Voir le message
    Parce que si tu es sur l'autoroute à 110 et qu'un petit malin réussi à faire piler ta voiture, c'est un danger pour la sécurité ta sureté...
    Si tu es à 110 sur l'autoroute et qu'on te désactive tes freins, c'est un danger pour la sécurité ta sureté...

    Désolé, j'ai pas détaille en quoi ça pourrait être un danger aux personnes, ça me semblait évident...


    C'est exactement le même genre de sécurité en informatique : tu évites de mettre ton code source à dispo de tout le monde quand tu veux être sûr de ne pas te faire défoncer ton site.
    Donc je pense que c'est pas limité aux années 40 ^^

    Sauf qu'avec une voiture, tu risques de tuer des gens.

    tu continue de mélanger. un danger pour la sécurité, c'est laisser un accès ssh root sans mot de passe sur le port par défaut par exemple.

    Citation Envoyé par eulbobo Voir le message
    Les deux sont liés quand on parle de boites métalliques d'environ 1 tonne qui peuvent dépasser les 150km/h
    Certes, mais elles sont a différencier très nettement et à traiter très différemment. En fait un défaut de sécurité PEUT et PEUT uniquement mener à des défauts de sureté et les mesures classique de sûreté pour se protéger des défauts de sécurité, c'est délier à 100% le réseau "des entrées" avec les commandes critiques.

    C'est exactement ce qui est fait en avionique, où l'ont parle de boites métalliques de plusieurs dizaines de tonne qui peuvent dépasser les 800 km/h et emporter plusieurs centaines de passager.

    Si en avionique on fait rigoureusement la différence, c'est qu'il y a une raison, et je vois pas, dans notre cas, l’intérêt de brouiller les périmètres des deux notions : comme l'a dit Traroth2, on n'est pas sur Clubic...

  7. #27
    Membre chevronné
    Avatar de eulbobo
    Homme Profil pro
    Développeur Java
    Inscrit en
    Novembre 2003
    Messages
    786
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Novembre 2003
    Messages : 786
    Points : 1 993
    Points
    1 993
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    Merci d'expliquer d'abord le rapport entre publier le code et quelqu'un réussissant à faire piler la voiture. On n'est pas sur Clubic, ici !

    Bizarre, il me semblait qu'on était sur le forum actualité
    Bref, un article en anglais qui relate l'histoire d'un mec qui a vu sa voiture piratée alors qu'il était en train de conduire
    http://www.wired.com/2015/07/hackers...-jeep-highway/
    Cherchez un peu, vous verrez qu'il y a des vidéos là dessus, et même des benchmarks des voitures les plus facilement piratables.

    En gros, des pirates à force d'essais, d'écoute matérielle et de bidouillages empiriques, ont réussi à plus ou moins prendre le contrôle de certains éléments vitaux du véhicule : la direction, les freins... Et d'autres éléments moins vitaux mais potentiellement dangereux (genre déclencher la radio à fond)

    Tout ça a été réalisé en Black Box : c'est à dire pirater un système sans connaitre comment il était fait.

    Maintenant, imaginez la même chose en white box : vous leur donnez le code source avec la possibilité pour eux de "voir" des failles sans avoir à chercher... Ils pourraient découvrir d'autres pistes pour avoir accès facilement à d'autres organes sensible des véhicules... Où arriver à contrôler des éléments qui leur sont pour l'instant impossible.
    (les concepts de blackbox/graybox/whitebox sont des concepts de sécurité informatique qui définissent le niveau d'information dont dispose une personne testant la sécurité d'un système)

    C'est assez clair le "pourquoi la divulgation du code source peut être un danger pour le public" ?


    Je pose la question autrement : vous pensez qu'il se passera quoi si Microsoft met à disposition le code source de Windows10 au public ?
    Outre le fait qu'on va se rendre compte qu'ils pompent toutes les données, mais vous pouvez êtes sûrs que dans les 5 jours, ils ne seront plus les seuls grâce à l'ingéniosités de ceux qui auront trouvé des failles à exploiter.

    Les voitures sont blindé d'électroniques et d'outils de contrôle/vérification à distance qui pour l'instant n'ont pas de sécurité. Les constructeurs ne vont pas faire marche arrière là dessus (vu qu'une voiture blindée d'électronique, pour faire un bilan, faut aller chez le concessionnaire ou chez le garagiste qui aura payé la location de la mallette de diagnostics).


    - Comme tu sais que ton code source sera lu par beaucoup de monde, tu en prends plus soin.
    - Si ton code est pourri, des experts s'en rendront compte et le diront au grand public : ton produit ne sera plus acheté.
    - Si ton code est bon mais a des faiblesses, des experts s'en rendront compte et le diront au grand public : tu pourras corriger ces faiblesses et proposer une mise à jour dans les plus brefs délais.
    - Si quelqu'un arrive à plier ta voiture en deux, tout le monde s'en rendra compte et même Kevin qui ne code qu'en JavaScript ira fouiller ton code pour essayer d'être le premier à trouver où était la faille.
    Ca implique de publier le code AVANT de livrer la voiture... Mais soit...
    Le grand public écoute tant que ça les informaticiens? T'es sûr?

    Attends, un exemple tout con où tous les experts crient à l'horreur de sécurité et où tout le monde s'en fout : le paiement sans contact !


    La sécurité en informatique, c'est donner son code à tout le monde et être sûr que tu ne te feras pas défoncer ton site. Sinon, on appelle ça prier.
    Ca dépend pour qui tu bosses... Et si c'était vrai, le monde de l'informatique tout entier serait open source.
    Or il ne l'est pas. Et pourtant ça marche.

    tu continue de mélanger. un danger pour la sécurité, c'est laisser un accès ssh root sans mot de passe sur le port par défaut par exemple.
    Pour l'instant, c'est pourtant le niveau de sécurité qui existe sur ces voitures... (cf article plus haut)
    Je ne suis pas mort, j'ai du travail !

  8. #28
    Rédacteur/Modérateur
    Avatar de Andnotor
    Inscrit en
    Septembre 2008
    Messages
    5 659
    Détails du profil
    Informations personnelles :
    Localisation : Autre

    Informations forums :
    Inscription : Septembre 2008
    Messages : 5 659
    Points : 13 032
    Points
    13 032
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Pour fausser les résultats des normes antipollution, un algorithme était installé dans l’unité de commande électronique des Volkswagen dont le but était de détecter automatiquement, et donc sans intervention humaine, à quel moment le véhicule était soumis à un test de mesures antipollution par les autorités compétentes. Pour se faire, il analysait certains paramètres qui étaient identiques à la procédure des tests en laboratoire : position du volant, pression barométrique, capot ouvert, vitesse du véhicule, etc. Ces différentes phases étant normalisées, il était aisé de concevoir un logiciel qui saurait les reconnaître.

    Qu'en pensez-vous ?
    Je pense que cet algorithme est (aussi) une usine à gaz (!) "Capot ouvert" devrait suffire

  9. #29
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    Novembre 2002
    Messages
    8 964
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2002
    Messages : 8 964
    Points : 28 430
    Points
    28 430
    Par défaut
    Citation Envoyé par eulbobo Voir le message

    Bizarre, il me semblait qu'on était sur le forum actualité
    Bref, un article en anglais qui relate l'histoire d'un mec qui a vu sa voiture piratée alors qu'il était en train de conduire
    http://www.wired.com/2015/07/hackers...-jeep-highway/
    Cherchez un peu, vous verrez qu'il y a des vidéos là dessus, et même des benchmarks des voitures les plus facilement piratables.

    En gros, des pirates à force d'essais, d'écoute matérielle et de bidouillages empiriques, ont réussi à plus ou moins prendre le contrôle de certains éléments vitaux du véhicule : la direction, les freins... Et d'autres éléments moins vitaux mais potentiellement dangereux (genre déclencher la radio à fond)

    Tout ça a été réalisé en Black Box : c'est à dire pirater un système sans connaitre comment il était fait.

    Maintenant, imaginez la même chose en white box : vous leur donnez le code source avec la possibilité pour eux de "voir" des failles sans avoir à chercher... Ils pourraient découvrir d'autres pistes pour avoir accès facilement à d'autres organes sensible des véhicules... Où arriver à contrôler des éléments qui leur sont pour l'instant impossible.
    (les concepts de blackbox/graybox/whitebox sont des concepts de sécurité informatique qui définissent le niveau d'information dont dispose une personne testant la sécurité d'un système)

    C'est assez clair le "pourquoi la divulgation du code source peut être un danger pour le public" ?


    Je pose la question autrement : vous pensez qu'il se passera quoi si Microsoft met à disposition le code source de Windows10 au public ?
    Outre le fait qu'on va se rendre compte qu'ils pompent toutes les données, mais vous pouvez êtes sûrs que dans les 5 jours, ils ne seront plus les seuls grâce à l'ingéniosités de ceux qui auront trouvé des failles à exploiter.

    Les voitures sont blindé d'électroniques et d'outils de contrôle/vérification à distance qui pour l'instant n'ont pas de sécurité. Les constructeurs ne vont pas faire marche arrière là dessus (vu qu'une voiture blindée d'électronique, pour faire un bilan, faut aller chez le concessionnaire ou chez le garagiste qui aura payé la location de la mallette de diagnostics).
    Apache fait tourner en gros 40% des sites web au monde...c'est un logiciel OpenSource a la merci de tous les hacker...bizarrement il reste très fiable. nginx en prend 15% il est tout aussi libre. Donc plus d'un site sur deux tourne avec un logiciel libre.

    il faudrait voir combien de sites tournent sous PHP avec des framework OpenSource également....ensuite il y a des failles, comme chez Microsoft, il il faut les mettre à jour, comme chez Microsoft, mais leur caractère OpenSource ne les rend pas plus vulnérables ou moins performants, loin s'en faut.
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  10. #30
    Membre chevronné
    Avatar de eulbobo
    Homme Profil pro
    Développeur Java
    Inscrit en
    Novembre 2003
    Messages
    786
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Novembre 2003
    Messages : 786
    Points : 1 993
    Points
    1 993
    Par défaut
    Citation Envoyé par Paul TOTH Voir le message
    Apache fait tourner en gros 40% des sites web au monde...c'est un logiciel OpenSource a la merci de tous les hacker...bizarrement il reste très fiable. nginx en prend 15% il est tout aussi libre. Donc plus d'un site sur deux tourne avec un logiciel libre.
    Apache tout seul, ça sert pas à grand chose : les failles les plus intéressants à exploiter ne sont pas toujours celles qui viennent du support, mais celles qui sont apportées par le développement d'une application qui tourne dessus.

    Et pour avoir utilisé pendant assez longtemps des outils open source sur internet, crois moi qu'on a été très très rapidement saoulé de se faire deface/deny parce que quelqu'un qui avait épluché le code avait trouvé une vulnérabilité.

    C'est pas parce qu'on ne voit pas le code source que c'est plus sécurisé, c'est sûr. Mais ça apporte un niveau de complexité supplémentaire qui fait que c'est plus compliqué de percer les défaillances.



    Après, si vous pensez qu'il y a un créneau dans le logiciel de contrôle automobile open source, lancez-vous ! Le secteur a besoin de concurrence et peut-être que certains constructeurs s'ouvriront à ce mode de fonctionnement.
    Connaissant les habitudes du secret et du copinage dans le milieu, je n'y crois pas : ils préféreront toujours masquer et dissimuler (et ça ne sera pas dur pour eux de l'argumenter)
    Je ne suis pas mort, j'ai du travail !

  11. #31
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2004
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Juin 2004
    Messages : 374
    Points : 1 399
    Points
    1 399
    Par défaut
    Citation Envoyé par eulbobo Voir le message
    Maintenant, imaginez la même chose en white box : vous leur donnez le code source avec la possibilité pour eux de "voir" des failles sans avoir à chercher... Ils pourraient découvrir d'autres pistes pour avoir accès facilement à d'autres organes sensible des véhicules... Où arriver à contrôler des éléments qui leur sont pour l'instant impossible.
    Je ne suis pas d'accord, pour moi, forcer l'aspect open-source des logiciels obligerait les entreprises à faire un choix : Produire du code correct ou disparaître au profit des entreprises qui auront fait le premier choix.

    Citation Envoyé par eulbobo Voir le message
    Je pose la question autrement : vous pensez qu'il se passera quoi si Microsoft met à disposition le code source de Windows10 au public ?
    Outre le fait qu'on va se rendre compte qu'ils pompent toutes les données, mais vous pouvez êtes sûrs que dans les 5 jours, ils ne seront plus les seuls grâce à l'ingéniosités de ceux qui auront trouvé des failles à exploiter.
    Microsoft aurait de gros problèmes avec cette politique, ça c'est sûr

    Citation Envoyé par eulbobo Voir le message
    Les voitures sont blindé d'électroniques et d'outils de contrôle/vérification à distance qui pour l'instant n'ont pas de sécurité. Les constructeurs ne vont pas faire marche arrière là dessus (vu qu'une voiture blindée d'électronique, pour faire un bilan, faut aller chez le concessionnaire ou chez le garagiste qui aura payé la location de la mallette de diagnostics).
    Eh bien qu'ils ne fassent pas marche arrière ... On ne verra plus que des Google Cars et tant pis pour tous les autres.

    Citation Envoyé par eulbobo Voir le message
    Ca implique de publier le code AVANT de livrer la voiture... Mais soit...
    Le grand public écoute tant que ça les informaticiens? T'es sûr?

    Attends, un exemple tout con où tous les experts crient à l'horreur de sécurité et où tout le monde s'en fout : le paiement sans contact !
    Il s'agit justement de failles de sécurité découvertes a posteriori. Si le fonctionnement bancaire était transparent et pas opaque comme actuellement, je suis certain que le monde s'en porterait beaucoup mieux ... Ceci dit je te rejoins sur ce point : les gens se foutent de tout tant que ça ne les concerne pas directement (la logique étant : si moi petit paysan je perds de l'argent, alors c'est que tout le monde en aura perdu, et l'état sera bien obligé de faire quelque chose).

    Citation Envoyé par eulbobo Voir le message
    Ca dépend pour qui tu bosses... Et si c'était vrai, le monde de l'informatique tout entier serait open source.
    Or il ne l'est pas. Et pourtant ça marche.
    Certainement pas. Les lobbys empêcheront ça tant qu'ils le pourront. Sur DVP, la majorité des gens aimeraient que tout soit open-source parce que ça leur permettrait de vérifier qu'ils n'achètent pas de la daube, mais le grand public s'en fout effectivement.

    D'un autre côté, si un développeur a une idée super géniale, il ne voudra surtout pas la partager, car elle lui assure des revenus supplémentaires (son produit sera plus acheté qu'un autre, il aura une augmentation, etc. En gros c'est du capitalisme appliqué aux idées). Mais s'il rend son programme open-source, tout le monde pourra lui piquer et la mettre dans un logiciel propriétaire sans qu'il soit jamais au courant.

    Si l'aspect open-source était obligatoire, ça n'arriverait plus. Mais je pense que ça n'arrivera jamais, trop de "gros poissons" y perdraient les nageoires, les branchies, les écailles et même le parachute.

  12. #32
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    Mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : Mai 2013
    Messages : 2 511
    Points : 10 335
    Points
    10 335
    Par défaut
    Citation Envoyé par eulbobo Voir le message
    C'est pas parce qu'on ne voit pas le code source que c'est plus sécurisé, c'est sûr. Mais ça apporte un niveau de complexité supplémentaire qui fait que c'est plus compliqué de percer les défaillances.
    Ca permet également de masquer plus longtemps le fait qu'il y ait des failles (voir d'en introduire sciemment) et donc ceux qui les ont quand même trouvées peuvent en profiter des années sans que personne ne le sache...

    Dans le meilleur des mondes, il faudrait effectivement un code open-source, audité par 1 ou plusieurs organismes indépendants pour vérifier la sécurisation du programme avant sa sortie, et limite avant chaque MAJ.

    Sauf que faire cela, cela demande du temps et de l'argent.

    Et vu que l'objectif primordial de notre époque, c'est de tout avoir tout de suite, pour le moins cher possible (voir gratuitement), des failles, que cela soit dans du code propriétaire ou open-source, on va en voir défiler pendant trèèèèèès longtemps...

  13. #33
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Le secret fortifie la croyance d'être en sécurité, et non la sécurité elle-même. On peut toujours faire du reverse engineering quand on est un black hat, open source ou pas.

    Dans le domaine de la sécurité elle-même, on a bien compris la leçon, et c'est pourquoi on fait du public-privé : la méthode est publique, mais se base sur un caractère privé qui lui doit rester secret. Préserver le secret de la méthode, c'est soit de l'arriérisme (on n'y croit pas), soit une bonne excuse pour faire passer la sécurité à la corbeille à moindre coût (on y croit mais on s'en fout).
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  14. #34
    Membre chevronné
    Avatar de eulbobo
    Homme Profil pro
    Développeur Java
    Inscrit en
    Novembre 2003
    Messages
    786
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Novembre 2003
    Messages : 786
    Points : 1 993
    Points
    1 993
    Par défaut
    Citation Envoyé par Shepard Voir le message
    Si le fonctionnement bancaire était transparent et pas opaque comme actuellement, je suis certain que le monde s'en porterait beaucoup mieux ... Ceci dit je te rejoins sur ce point : les gens se foutent de tout tant que ça ne les concerne pas directement (la logique étant : si moi petit paysan je perds de l'argent, alors c'est que tout le monde en aura perdu, et l'état sera bien obligé de faire quelque chose).
    Si le fonctionnement bancaire était transparent, il y aurait une révolution et des banques alternatives ouvriraient pour qu'on arrête le n'importe quoi global dans lequel on est obligé de tremper
    (ça se sent que je bosse dans le domaine bancaire?)



    Certainement pas. Les lobbys empêcheront ça tant qu'ils le pourront. Sur DVP, la majorité des gens aimeraient que tout soit open-source parce que ça leur permettrait de vérifier qu'ils n'achètent pas de la daube, mais le grand public s'en fout effectivement.

    D'un autre côté, si un développeur a une idée super géniale, il ne voudra surtout pas la partager, car elle lui assure des revenus supplémentaires (son produit sera plus acheté qu'un autre, il aura une augmentation, etc. En gros c'est du capitalisme appliqué aux idées). Mais s'il rend son programme open-source, tout le monde pourra lui piquer et la mettre dans un logiciel propriétaire sans qu'il soit jamais au courant.

    Si l'aspect open-source était obligatoire, ça n'arriverait plus. Mais je pense que ça n'arrivera jamais, trop de "gros poissons" y perdraient les nageoires, les branchies, les écailles et même le parachute.
    Je sais bien malheureusement...
    La joie du monde moderne où on doit faire le choix entre du propriétaire fermé ou de l'open source communautaire. Et dans le tas, on reste minoritaire : le gros du marché veut un iTruc et son PC sous Windows10 pour surfer avec Chrome (parce qu'on leur a dit que IE c'était mal mais pas pourquoi)


    Dans le meilleur des mondes, il faudrait effectivement un code open-source, audité par 1 ou plusieurs organismes indépendants pour vérifier la sécurisation du programme avant sa sortie, et limite avant chaque MAJ.
    Sauf que faire cela, cela demande du temps et de l'argent.
    Sauf que ça sera corruptible à souhait, parce qu'avec pas assez de pognon, ils pourront se faire acheter
    Je suis d'accord sur l'idée cela dit. Juste je ne crois pas que ça pourra fonctionner à long terme.
    Je ne suis pas mort, j'ai du travail !

  15. #35
    Membre expérimenté
    Profil pro
    Inscrit en
    Février 2004
    Messages
    1 824
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2004
    Messages : 1 824
    Points : 1 544
    Points
    1 544
    Par défaut
    Je pense que s'il y a quelque chose à sécuriser / verrouiller / garder secret dans cette histoire, ce sont surtout les procédures de contrôle.

    Une fois que l'on sait comment est foutu la serrure, rien de plus simple que de fabriquer la clé qui va avec.

    Pour moi s'il faut modifier un truc, il faudrait commencer par les fabricants de serrure, pas ceux des clés.
    "Heureusement qu'il y avait mon nez, sinon je l'aurais pris en pleine gueule" Walter Spanghero

  16. #36
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    Il y'a quelques années, j'ai travaillée pour une grosse boite américaine qui fabriques des composants électroniques, mon logiciels devait justement déceler des défauts de fabrication de ces composants.

    50% des composants "défectueux" (mauvaise soudure, mauvaise conception de l'armoire électrique...) était vendue alors que le défaut de fabrication n'était pas corrigé. Le produit avait une duré de vie moins longue que prévu du coup...


    Je pense que beaucoup d'entreprise font ce genre de magouilles.

  17. #37
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    Mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : Mai 2013
    Messages : 2 511
    Points : 10 335
    Points
    10 335
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Je pense que beaucoup d'entreprise font ce genre de magouilles.
    Bien sûr, du moment que le produit défectueux tient 1 journée de plus que la durée de la garantie, c'est tout bénef pour eux, pourquoi ils se gêneraient...

  18. #38
    Membre chevronné
    Avatar de eulbobo
    Homme Profil pro
    Développeur Java
    Inscrit en
    Novembre 2003
    Messages
    786
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Novembre 2003
    Messages : 786
    Points : 1 993
    Points
    1 993
    Par défaut
    Citation Envoyé par Zirak Voir le message
    Bien sûr, du moment que le produit défectueux tient 1 journée de plus que la durée de la garantie, c'est tout bénef pour eux, pourquoi ils se gêneraient...
    Une mauvaise langue dirait que c'est précisément ce qu'ils cherchent : chercher cette délicate limite de la fabrication qui pète pile quand on lui a demandé.
    De là à penser qu'il existe une partie logicielle qui contrôle cette obsolescence, il n'y a qu'un pas...
    Je ne suis pas mort, j'ai du travail !

  19. #39
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par mister3957 Voir le message
    Je pense que s'il y a quelque chose à sécuriser / verrouiller / garder secret dans cette histoire, ce sont surtout les procédures de contrôle.

    Une fois que l'on sait comment est foutu la serrure, rien de plus simple que de fabriquer la clé qui va avec.

    Pour moi s'il faut modifier un truc, il faudrait commencer par les fabricants de serrure, pas ceux des clés.
    Si tu caches la méthode, tu laisses le constructeur faire ses cachotteries pour passer les contrôles publiques. Libre à lui de jouer de ses compétences pour faire croire qu'il est bon.
    Si tu caches la procédure de contrôle, tu laisses le contrôleur définir ses propres critères. Libre à lui de jouer de son arbitraire pour décider de ce qui est bon.
    Si les deux sont cachés, tu auras tôt fait d'avoir de la corruption, où les contrôleurs s'arrangent avec les constructeurs, les derniers devant quand même être capables de passer les contrôles et donc savoir quoi valider.

    Pour éviter l'arbitraire, les deux doivent rester publics, la partie secrète devant se limiter à sécuriser l'utilisation, et c'est donc à l'utilisateur de fournir la partie secrète.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  20. #40
    Expert éminent sénior
    Profil pro
    Inscrit en
    Décembre 2007
    Messages
    6 803
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : Décembre 2007
    Messages : 6 803
    Points : 32 044
    Points
    32 044
    Par défaut
    C'est moi, ou ces gens-là n'ont aucune idée de la masse de boulot que ça représente de renifler un code dans son intégralité? Ils ont quel budget, pour ça? Sans compter qu'on est jamais sur que le source soit bien celui qui compile.....
    Les 4 règles d'airain du développement informatique sont, d'après Michael C. Kasten :
    1)on ne peut pas établir un chiffrage tant qu'on a pas finalisé la conception
    2)on ne peut pas finaliser la conception tant qu'on a pas complètement compris toutes les exigences
    3)le temps de comprendre toutes les exigences, le projet est terminé
    4)le temps de terminer le projet, les exigences ont changé
    Et le serment de non-allégiance :
    Je promets de n’exclure aucune idée sur la base de sa source mais de donner toute la considération nécessaire aux idées de toutes les écoles ou lignes de pensées afin de trouver celle qui est la mieux adaptée à une situation donnée.

Discussions similaires

  1. La Russie demande à examiner les codes sources des logiciels d'Apple et SAP
    Par Stéphane le calme dans le forum Actualités
    Réponses: 14
    Dernier message: 11/08/2014, 17h52
  2. Code source des modules sous licence GPL du CPAN
    Par iblis dans le forum Modules
    Réponses: 2
    Dernier message: 06/10/2007, 20h06
  3. Réponses: 5
    Dernier message: 14/03/2007, 00h20
  4. Réponses: 4
    Dernier message: 01/03/2007, 14h19
  5. Code source des commandes ?
    Par malalll dans le forum Linux
    Réponses: 3
    Dernier message: 01/04/2006, 12h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo