Open source et sécurité font-ils bon ménage ?

Open source et sécurité font-ils bon ménage ?

Si beaucoup de secteurs économiques ont pâti de la pandémie de COVID19, les technologies y ont résisté et pour certaines, elles ont explosé. Dans cette période de destruction-création, de fort progrès technologique et de course à plus de sécurité : on y trouve l’open-source, un outil au service des entreprises et de leurs utilisateurs.

Qu’est-ce que l’Open Source ?

Le principe d’open-source apparaît dans les années 1950 et 1960 aux prémices de l’Internet. Les ingénieurs informatiques chargés de son développement travaillaient dans un environnement ouvert et collaboratif où les avancées étaient examinées et commentées par leurs pairs.

A l’arrivée d’Internet, ou plutôt d’ARPANET durant les années 1960, les ordinateurs étaient livrés avec des logiciels open-source permettant aux clients de vérifier les caractéristiques des logiciels ou les modifier à leur guise.

Alors comment définit-on un logiciel “l’open-source” ? L’Open Source Initiative le définit en 10 points, mais voici comme le résumer en quelques lignes :

Un logiciel open-source est un composant informatique dont le code source est libre d’accès. Ici, libre signifie : accessible à quiconque sans discrimination (individuelle ou collective), utilisable et modifiable sans contribution financière.

Voici des exemples de logiciels open-source et dont vous avez eu certainement affaire autant que moi:

  • Linux, un kernel utilisé notamment dans les matériels Android et la majorité des serveurs informatiques dans le monde.
  • Plus connu, nous avons le navigateur web Mozilla Firefox lancé et porté par une large communauté de développeurs.
  • Enfin, pour les artistes dans l’âme, nous avons Gimp, Blender, Audacity, et bien d’autres encore.

Cinq (5) préjugés sur l’Open Source

Open-source = Gratuit : un code source accessible et gratuit ne signifie pas que son exécution l’est pour autant.

Il n’existe qu’un type d’open-source : il existe de nombreuses licences open-source selon l’usage souhaité comme par exemple la licence permettant l’exploitation à but lucrative ou non. Il est également possible d’écrire sa propre licence.

L’open-source ne relève que des logiciels : le concept d’open-source s’applique au software (logiciel) mais également au hardware (matériel).

Aussi, il est important de comprendre que le principe d’open-source ne met pas l’accent sur un aspect financier, mais plutôt sur la liberté d’utilisation, de modification et de diffusion. De façon plus large, l’open-source est un mouvement, un mode de travail, plus qu’une étiquette sur un outil informatique.

Peu d’entreprises y ont recours : le recours aux matériels et logiciels open-source dans le monde des entreprises est de plus en plus courant, des études révèlent qu’il s’agit d’outils fortement sollicités dans la transformation digitale de grandes entreprises et leurs investissements. Par exemple, Microsoft est le premier contributeur aux projets open-source destinés aux entreprises.

L’open-source ne concerne que les professionnels et expérimentés : il s’agit d’un outil au service des professionnels mais aussi des étudiants et débutants, c’est un vivier considérable de connaissances. Il stimule l’apprentissage et met à l’épreuve les compétences de tous.

Trois (3) raisons d’employer l’open-source

La transparence : autant pour les entreprises que pour les utilisateurs, les logiciels open-source sont accessibles ; les codes malveillants sont plus rapidement et facilement décelables. La transparence est alors gage de confiance et de fiabilité. En effet, il est possible pour les utilisateurs de traquer l’ajout de code malveillant, bug, etc dans le code source et ainsi relever le ou les auteurs.

La collaboration : un des plus grands avantages de l’open-source est la communauté de développeurs expérimentés, ou débutants, qu’elle agrège. Les trous de sécurité sont en général rapidement détectés et corrigés à l’aide de ces derniers (notamment les projets à forte attraction). Il est en effet facile de soumettre une correction, une information sur un bug ou une suggestion aux auteurs du code dans le but de l’améliorer.

La flexibilité : de par l’aspect communautaire, le code open-source est flexible, il peut être rapidement adapté et plus à l’écoute des utilisateurs. Ainsi, par opposition à un logiciel privé, un logiciel open-source est davantage orienté vers la demande et permet de s’adapter aisément aux utilisateurs. Dans l’exemple d’un logiciel non adapté à une utilisation, ou délaissé par les auteurs en raison de son faible apport financier, il est possible de créer un fork (un nouveau logiciel à partir d’un code source existant).

Débat autour de la sécurité : entre transparence et obscurité

Le débat autour de la sécurité de l’open-source subsiste toujours : d’un côté ceux pour lesquels l’obscurité est clé. D’autre part, les défenseurs de l’open-source convaincus que la transparence est l’arme ultime contre les failles de sécurité.

Un code source visible par tous ? Ça peut paraître dangereux, n’est-ce pas ? En effet, la transparence ne présente pas que des avantages : les dérives malveillantes ne sont pas isolées. Lorsque plus tôt nous parlions des trous de sécurité rapidement décelables, il y a des failles qui le sont moins facilement et des personnes malveillantes pourraient s’en saisir pour agir dans leur propre intérêt.

D’un autre côté, l’obscurité n’est pas toujours gage de sécurité. Nous pouvons relever de nombreuses attaques survenues sur des codes privés (exploitant d’anciennes failles vieilles de plusieurs années n’ayant jamais été signalées) : le logiciel malveillant WannaCry ciblant Microsoft, le vol des outils de la NSA par un groupe de crybercriminels, et bien d’autres.

Auguste Kerckhoffs Van Nieuwenhof, cryptologue militaire néerlandais du 19e siècle, disait :

“La sécurité d’un système cryptographique ne doit pas dépendre de la préservation du secret de l’algorithme. La sécurité ne repose que sur le secret de la clé », autrement dit la sécurité d’un code ne doit pas reposer sur sa dissimulation, au contraire il doit être possible de le rendre public sans craindre les retombées.”

Conclusion

L’open-source est donc bien plus qu’un outil informatique : c’est un mode de travail, un moyen d’apprentissage, une arme contre les failles, une manière d’être plus proche des utilisateurs… Toutes ses fonctions contribuent à construire un écosystème plus sûr où la confiance et la collaboration sont maîtres mots.

Article rédigé par Imen SACI, pour Satochip — 05–08–2021

https://satochip.io
https://satochip.io
https://satochip.io

Open source and affordable hardware wallet on smart card. More information on https://satochip.io — Follow us on Twitter : @SatochipWallet

Open source and affordable hardware wallet on smart card. More information on https://satochip.io — Follow us on Twitter : @SatochipWallet