Discussion :

[Stéphane le calme]

« Les logiciels propriétaires sont des matériaux de construction dangereux », avance un avocat
qui estime qu'ils devraient pouvoir être inspectés

Mise à jour du 17 / 12 / 2015 : les correctifs proposés par Volkswagen ont été approuvés

Le groupe Volkswagen a annoncé que les régulateurs allemands ont approuvé les correctifs proposés aux logiciels sur les moteurs diesel de ses voitures qui ont été au cœur d’un scandale de fraude aux tests antipollution. Il s’agit plus précisément des séries EA189 1,2 litre, 1,6 litre et 2 litres.

« Après des examens minutieux, l'Office fédéral allemand des véhicules à moteur (KBA) a complètement ratifié toutes ces mesures », a expliqué le groupe qui précise que les moteurs diesel 1,2 litre et 2 litres auront droit à une mise à jour qui devrait être effectuée en moins d’une demi-heure. Les moteurs diesel 1,6 litre auront également droit à une mise à jour, mais aussi à un « redresseur de flux » qui sera monté en face du capteur de masse d’air, une opération qui devra durer moins d’une heure.

« Ces mesures seront applicables en Europe », a précisé le groupe dans un communiqué de presse qui estime qu’une fois qu’elles auront été implémentées, les véhicules seront alors conformes aux standards d’émission, avec pour objectif de ne provoquer aucune altération de la puissance du moteur, de la consommation de carburant ou même de la performance.

Les implémentations de ces mesures devront commencer en fin janvier 2016.

Source : communiqué de presse Volkswagen

Il y a cinq ans, Eben Moglen, avocat et professeur de droit à l’université Columbia, est tombé sur une note qui indiquait que l’ascenseur de son hôtel était en panne et que l’hôtel s’excusait du désagrément causé. Il s’est alors demandé ce que serait devenu le monde si des outils comme les ascenseurs étaient conçus de telle manière qu’on ne soit pas capable de les inspecter. À l’occasion du meeting annuel Scottish Society for Computers and Law (SSCL), il allait faire un discours sur les dangers du code propriétaire qui contrôle de plus en plus de dispositifs chaque jour. « Les logiciels propriétaires sont des matériaux de construction dangereux ; vous ne pouvez pas les inspecter », estimait-il.

Plusieurs scandales ont éclaté entre 2010 et 2015 sur le sujet. Le plus récent concerne la marque automobile allemande Volkswagen, qui s’est retrouvée au centre d’un scandale au niveau mondial. En effet, mardi dernier, l’Allemand a reconnu avoir mis en place un logiciel sur les moteurs diesel d’environ 11 millions de ses voitures, afin de fausser les résultats de tests antipollution. Mais comment s’y est-il pris ?

Pour rappel, pour obtenir le droit de commercialiser un véhicule, tout constructeur doit se soumettre à une batterie de tests, destinés à mesurer le niveau d’émission de composants polluants. Pour cela, le véhicule est utilisé selon des critères précis, qui permettent d’établir les niveaux exacts d’émission de particules : si ces derniers sont trop élevés, l’autorisation de commercialisation n’est pas délivrée.

Pour fausser les résultats des normes antipollution, un algorithme était installé dans l’unité de commande électronique des Volkswagen dont le but était de détecter automatiquement, et donc sans intervention humaine, à quel moment le véhicule était soumis à un test de mesures antipollution par les autorités compétentes. Pour ce faire, il analysait certains paramètres qui étaient identiques à la procédure des tests en laboratoire : position du volant, pression barométrique, capot ouvert, vitesse du véhicule, etc. Ces différentes phases étant normalisées, il était aisé de concevoir un logiciel qui saurait les reconnaître.

L’agence américaine pour la protection de l’environnement (EPA) avance que, durant les tests qu’elle a menés, le module de contrôle électronique du véhicule a lancé un logiciel qui a produit des résultats d’émission satisfaisants. Cependant, dans des opérations normales du véhicule, le module de contrôle lançait un autre logiciel qui réduisait l’efficacité du système de contrôle d’émission (en particulier la réduction catalytique sélective, une technologie utilisée pour réduire les oxydes d’azote émis). Conséquence, l’émission d’oxydes d’azote pouvait être 10, voire 40 fois plus élevée que les niveaux de conformité de l’EPA, en fonction du type de cycle de conduite. La supercherie n’a pas été démasquée par l’EPA. Ce sont des ingénieurs à l’université de West Virginia qui ont éprouvé sur la route des voitures qui ont passé des inspections d’émission.

Ce qui nous ramène à Moglen, fondateur du Software Freedom Center, qui a avancé il y a déjà cinq ans que les logiciels doivent être transparents pour mieux servir l’intérêt public. « Les logiciels sont dans toute chose », a-t-il rappelé en citant les avions, les appareils médicaux, les voitures et en avançant que la plupart d’entre eux sont propriétaires et donc invisibles.

Mardi dernier, Moglen a rappelé l’histoire de l’ascenseur dans son hôtel. « La politique publique intelligente, comme nous l’avons appris depuis le début du 20^e siècle, est d’exiger que les ascenseurs puissent être inspectés et d’obliger les constructeurs à les construire en tenant compte de ça. Si Volkswagen savait que chacun de ses clients qui achètent un véhicule a le droit de lire tous les codes source du logiciel dans le véhicule acheté, il n’aurait jamais envisagé la tricherie, parce que la certitude de se faire prendre un jour ou l’autre aurait été terrifiante ».

Ce n’est pas comme ça que les constructeurs voient les choses. Il faut rappeler que, aux États-Unis par exemple, le code dans les automobiles est protégé en vertu du Digital Millenium Copyright Act. Même si, l’année dernière, plusieurs groupes ont demandé à ce que le code soit disponible pour « des essais de bonne foi, l’identification, la divulgation et la réparation des dysfonctionnements ». Les groupes de constructeurs automobiles ne le voient pas de cet œil puisqu’ils estiment que permettre un examen du logiciel pourrait « constituer de graves menaces pour la sureté et la sécurité ».

Source : EPA (au format PDF), Sofware Freedom Law Center, Volkswagen

Et vous ?

Qu'en pensez-vous ? Doit-on permettre au public d’inspecter le code source des logiciels propriétaires ? Pourquoi ?

Est-ce qu'un test reste efficace si les questions sont connues d'avance ?

Forum Application

[Marco46]

Les groupes de constructeurs automobiles ne le voient pas de cet œil puisqu’ils estiment que permettre un examen du logiciel pourrait « constituer de graves menaces pour la sureté et la sécurité ».

Quelle incompétence ... Oser sortir un truc pareil en 2015 ...

Qu'en pensez-vous ? Doit-on permettre au public d’inspecter le code source des logiciels propriétaires ? Pourquoi ?

C'est compliqué ca revient à dire que l'on interdirait les licences propriétaires.

[Traroth2]

C'est compliqué ca revient à dire que l'on interdirait les licences propriétaires.

Ce n'est parce que tu as le droit de consulter le code-source que tu peux le modifier, le distribuer ou même l'exécuter.

[air-dex]

C'est compliqué ca revient à dire que l'on interdirait les licences propriétaires.

+1. Propriétaire ou libre, un code doit pouvoir être inspectable sur décision de justice ou lors d'audits. Mais cela ne veut pas dire que tout le monde doit avoir accès aux sources, loin de là. Il en va de même pour le script de compilation qui a donné naissance à l'exécutable issu du code (sauf s'il s'agit d'un langage de script, bien entendu).

[Matthieu Vergne]

Il en va de même pour le script de compilation qui a donné naissance à l'exécutable issu du code (sauf s'il s'agit d'un langage de script, bien entendu).

Je ne vois pas pourquoi un langage de script passerait outre. Tu as le processeur qui exécute, et celui-là on a accès à son langage (assembleur) et on sait ce à quoi chaque commande correspond, et on a le programme, qui dit ce qu'on fait exécuter à ce processeur. Connaître les deux est ce qui permet de faire une audit complète. Avec un langage de script, on insère un niveau supplémentaire, mais l'objectif reste le même : auditer toute la chaîne. La langage de script qui s'intercale entre le processeur et le programme doit donc, lui aussi, être auditable, sinon c'est par là que les problèmes entreront.

[Shepard]

+1. Propriétaire ou libre, un code doit pouvoir être inspectable sur décision de justice ou lors d'audits. Mais cela ne veut pas dire que tout le monde doit avoir accès aux sources, loin de là. Il en va de même pour le script de compilation qui a donné naissance à l'exécutable issu du code (sauf s'il s'agit d'un langage de script, bien entendu).

Pourquoi ?

S'il s'agit de protéger les inventions vis-à-vis de la concurrence, le système de brevets sert à protéger les inventions, pourquoi en plus vouloir les cacher à tout prix ? Pour moi cela a l'effet inverse de très grandement faciliter les violations de brevets.

S'il s'agit de protéger les programmes contre le piratage, il est possible de s'en protéger même si le code est totalement ouvert. Je ne suis pas expert mais passer par un gestionnaire d'applications (à la steam, mais lié à l'identité (EID) plutôt qu'à une société) semble parfaitement convenir à cette problématique ...

[eulbobo]

Qu'en pensez-vous ? Doit-on permettre au public d’inspecter le code source des logiciels propriétaires ? Pourquoi ?

Pas au public pour des raisons évidentes de sécurité et de secret industriel... Jamais le code source propriétaire ne sera livré au public comme ça (et quand bien même, pas sûr qu'on puisse voir les malfaçons juste en lisant des bouts de code)

Et je ne vois pas comment faire en sorte d'avoir un organisme de contrôle indépendant qui pourrait contrôler ça : ça serait partir du principe que tout le monde triche et que tout le monde peut tricher, et qu'il faut tout surveiller

Celà dit, c'est à la mode actuellement de tout surveiller à outrance "au cas où"... Sauf qu'on sait tous que c'est parfaitement inutile et que ça ne poussera qu'à plus de corruption.
Les scandales éclateront quand ils devront éclater, utilisons notre énergie à construire plutôt qu'à surveiller quelque chose qui risque de ne pas arriver.

Accessoirement, quand on surveille quelque chose, on cherche des pistes, des traces... Donc si une nouvelle magouille apparaît, c'est pas sûr qu'on la détecte de toute façon.

[Marco46]

Pas au public pour des raisons évidentes de sécurité et de secret industriel...

Secret industriel ok mais les raisons de sécurité je veux bien qu'on m'explique

[eulbobo]

Secret industriel ok mais les raisons de sécurité je veux bien qu'on m'explique

Le fait que l'électronique contrôle presque tout sur certaines voitures fait en sorte qu'une personne mal intentionnée pourrait
- ouvrir ta voiture
- désactiver l'alarme
- démarrer ta voiture
- activer l'alarme
- obliger ta voiture à s'arrêter n'importe où (certains systèmes permettent de contrôler les freins)
- couper la direction assistée
- couper le moteur
- déclencher de fausses alarmes
- suivre le moindre de tes déplacements

etc...

Bref, c'est déjà pas super sécurisé, si en plus les hackers ont le droit de faire du hack en white box et plus en black box, ça va vraiment être la fête du slip (si vous me permettez l'expression)


Après, la solution est peut-être de mettre moins d'électronique, ou que ça ne soit plus connecté sur l'extérieur (mais reste alors les problèmes liés au vol potentiel de voiture)...

[Zirak]

Le fait que l'électronique contrôle presque tout sur certaines voitures fait en sorte qu'une personne mal intentionnée pourrait
- ouvrir ta voiture
- désactiver l'alarme
- démarrer ta voiture
- activer l'alarme
- obliger ta voiture à s'arrêter n'importe où (certains systèmes permettent de contrôler les freins)
- couper la direction assistée
- couper le moteur
- déclencher de fausses alarmes
- suivre le moindre de tes déplacements

etc...

On peut déjà faire tout ça avec une application téléphonique sans avoir accès au code source tellement la sécurité de certains constructeurs est moisies, donc au final, je ne vois pas trop la différence

[Marco46]

Le fait que l'électronique contrôle presque tout sur certaines voitures fait en sorte qu'une personne mal intentionnée pourrait

[...]

Après, la solution est peut-être de mettre moins d'électronique, ou que ça ne soit plus connecté sur l'extérieur (mais reste alors les problèmes liés au vol potentiel de voiture)...

Et en quoi le fait de publier le code est un danger pour la sécurité ?

Le sécurité par obfuscation c'était l'état de l'art dans les années 40 cher ami ...

[eulbobo]

Et en quoi le fait de publier le code est un danger pour la sécurité ?

Parce que si tu es sur l'autoroute à 110 et qu'un petit malin réussi à faire piler ta voiture, c'est un danger pour la sécurité ...
Si tu es à 110 sur l'autoroute et qu'on te désactive tes freins, c'est un danger pour la sécurité...

Désolé, j'ai pas détaille en quoi ça pourrait être un danger aux personnes, ça me semblait évident...

Le sécurité par obfuscation c'était l'état de l'art dans les années 40 cher ami ...

C'est exactement le même genre de sécurité en informatique : tu évites de mettre ton code source à dispo de tout le monde quand tu veux être sûr de ne pas te faire défoncer ton site.
Donc je pense que c'est pas limité aux années 40 ^^

Sauf qu'avec une voiture, tu risques de tuer des gens.

Tu mélangesécurité (sécurité "anti-intrusion" du systeme informatique ==> En anglais security) et sureté (sécurité physique des passagers ==> En anglais Safety) alors que ce sont deux problématiques complètement différentes

Les deux sont liés quand on parle de boites métalliques d'environ 1 tonne qui peuvent dépasser les 150km/h

[AoCannaille]

Le fait que l'électronique contrôle presque tout sur certaines voitures fait en sorte qu'une personne mal intentionnée pourrait
- ouvrir ta voiture
- désactiver l'alarme
- démarrer ta voiture
- activer l'alarme
- obliger ta voiture à s'arrêter n'importe où (certains systèmes permettent de contrôler les freins)
- couper la direction assistée
- couper le moteur
- déclencher de fausses alarmes
- suivre le moindre de tes déplacements

etc...

Bref, c'est déjà pas super sécurisé, si en plus les hackers ont le droit de faire du hack en white box et plus en black box, ça va vraiment être la fête du slip (si vous me permettez l'expression)


Après, la solution est peut-être de mettre moins d'électronique, ou que ça ne soit plus connecté sur l'extérieur (mais reste alors les problèmes liés au vol potentiel de voiture)...

Tu mélangesécurité (sécurité "anti-intrusion" du systeme informatique ==> En anglais security) et sureté (sécurité physique des passagers ==> En anglais Safety) alors que ce sont deux problématiques complètement différentes

Et en quoi le fait de publier le code est un danger pour la sécurité ?

Le sécurité par obfuscation c'était l'état de l'art dans les années 40 cher ami ...

Avec le flou security/safety dissipé, la safety par l’offuscation est toujours valable (et au passage, dans les années 40, on était content quand on faisait tourner un programme alors le sécuriser....)

[Traroth2]

Le fait que l'électronique contrôle presque tout sur certaines voitures fait en sorte qu'une personne mal intentionnée pourrait
- ouvrir ta voiture
- désactiver l'alarme
- démarrer ta voiture
- activer l'alarme
- obliger ta voiture à s'arrêter n'importe où (certains systèmes permettent de contrôler les freins)
- couper la direction assistée
- couper le moteur
- déclencher de fausses alarmes
- suivre le moindre de tes déplacements

etc...

Bref, c'est déjà pas super sécurisé, si en plus les hackers ont le droit de faire du hack en white box et plus en black box, ça va vraiment être la fête du slip (si vous me permettez l'expression)


Après, la solution est peut-être de mettre moins d'électronique, ou que ça ne soit plus connecté sur l'extérieur (mais reste alors les problèmes liés au vol potentiel de voiture)...

Et si la solution était plutôt de sécuriser le système, plutôt qu'espérer que l'obscurité suffira pour éviter les intrusions, ce que tout le monde sait être une dangereuse illusion ?

[Aiekick]

moi je propose qu'on puisse inspecter le code source d'un virus avant son usage....

[GPPro]

[B][SIZE=4]

Qu'en pensez-vous ? Doit-on permettre au public d’inspecter le code source des logiciels propriétaires ? Pourquoi ?

Forum Application

Je ne sais pas si vous avez pris es raccourcis dans la traduction mais lire un code source et vérifier qu'un exécutable fasse ce qui est attendu ce n'est pas la même chose. Qu'un développeur dise qu'il suffit de publier un code source pour être sûr de l'exécutable sensé correspondre, c'est du foutage de gu****. S'ils sont prêts à tricher comme ils l'ont fait pour des contrôles anti pollution (ce qui me surprend d'ailleurs car la chaîne de responsabilité est telle pour ce genre de tricherie que j'avais toujours pensé que ce genre de choses ne pouvait pas arriver, visiblement j'avais tort), substituer un code source pour un autre c'est de l'enfance de l'art.

[AoCannaille]

S'ils sont prêts à tricher comme ils l'ont fait pour des contrôles anti pollution (ce qui me surprend d'ailleurs car la chaîne de responsabilité est telle pour ce genre de tricherie que j'avais toujours pensé que ce genre de choses ne pouvait pas arriver, visiblement j'avais tort),

Ce genre de scandale ne m'étonne absolument pas, et cela arrive dans vraiment tous les domaines... Il y a un an ou deux il y avait le scandale de Samsung qui repérait les applications de benchmarks pour sortir des meilleurs résultats que prévus sur leurs smartphones (exactement la même situation donc.)
Chaque année au tour de France des spécialistes créent du dopage qui ne doit pas apparaître aux contrôles...

Avec un lien un peu plus capillotracté, l'Etat installe des radars et on utilise des avertisseurs de radar : au moment du contrôle on est à la bonne vitesse, avant et après non.

Bref, c'est le jeu du chat et de la souris en permanence et dans tous les domaines, plus les contrôles durcissent plus les contournements se complexifient...

[GPPro]

Tricher sur des perfs de matos, perso osef. Par contre sur de la pollution, ça a une dimension éthique différente. Enfin pour moi en tout cas (et je ne suis pas spécialement écolo hein !), après peut-être que je me trompe...

[NSKis]

Comme son nom l'indique une licence "propriétaire" implique que le logiciel reste la propriété de son concepteur et que ce dernier vous donne un droit de l'utiliser!!!

Libre à l'acheteur de l'utiliser ou non, libre à l'acheteur de n'utiliser que des codes open source!!!

Cet avocat n'est qu'un exemple de plus d'une dérive de la société actuelle qui voudrait que l'on puisse espionner tout le monde, partout et tout le temps!!!

A quand un analyseur automatique de votre production intestinale dans vos WC afin qu'un organisme régulateur étatique soit averti si vous êtes dangereux ou non avant que vous ne quittiez votre domicile et pourquoi pas que cet organisme puisse condamner la serrure de votre appart pour éviter que vous ne contaminiez des gens dans la rue avec vos virus gripaux?

[Traroth2]

Comme son nom l'indique une licence "propriétaire" implique que le logiciel reste la propriété de son concepteur et que ce dernier vous donne un droit de l'utiliser!!!

Libre à l'acheteur de l'utiliser ou non, libre à l'acheteur de n'utiliser que des codes open source!!!

Cet avocat n'est qu'un exemple de plus d'une dérive de la société actuelle qui voudrait que l'on puisse espionner tout le monde, partout et tout le temps!!!

A quand un analyseur automatique de votre production intestinale dans vos WC afin qu'un organisme régulateur étatique soit averti si vous êtes dangereux ou non avant que vous ne quittiez votre domicile et pourquoi pas que cet organisme puisse condamner la serrure de votre appart pour éviter que vous ne contaminiez des gens dans la rue avec vos virus gripaux?

Le propriétaire du logiciel nous donne le droit d'utiliser son logiciel, et en échange, il espère plein de pognon. Si suffisamment de gens se disent qu'en échange de ce pognon, ils en veulent plus, et notamment la possibilité d'examiner le code-source pour savoir si justement, il ne serait pas en train de les espionner, lui, il aura le choix entre obtempérer ou changer de métier. Parce que sinon, les clients risquent de décider unilatéralement de changer l'accord en : il garde son logiciel et ils gardent leur fric...