Pour ou contre la publication en open source du code source d'un système de sécurité ?
Une juge estime que la sécurité nationale pourrait en pâtir

Le , par Stéphane le calme, Chroniqueur Actualités
Battelle Energy Alliance, fournisseur opérationnel de Idaho National Laboratory (INL), a engagé des poursuites judiciaires contre un de ses anciens employés et sa compagnie Southfork Security. Tout a commencé en 2009 quand le département américain de l'énergie a mandaté un projet de développement dont l'objectif était la création d'un « programme informatique visant à protéger les infrastructures énergétiques critiques des États-Unis (compagnies électriques, pétrole, gaz, chimiques et autres) contre les cyber-attaques. ». Corey Thuen, encore employé à ce moment là de la Battelle, a fait parti de l'équipe de développeurs ayant travaillé pour le logiciel baptisé plus tard Sophia.

En 2012, Sophia est entre autre capable de détecter et de neutraliser des comportements anormaux sur le réseau. Une série de tests qui s'avèrent concluant réconforte Battelle dans son idée d'obtenir une licence pour cette technologie. N'ayant pas la capacité de commercialiser elle même les produits de ses recherches et ses inventons, l'entreprise a lancé un processus d'appel d'offres pour les entreprises intéressées. C'est à cette période que Thuen a quitté l'équipe et a fondé son entreprise. Sa société a alors présenté une proposition de licence du produit en février 2013 mais l'a retirée deux mois plus tard.

En mai 2013, une compagnie du nom de NexDefense a obtenu le droit exclusif de commercialiser Sophia. Seulement, à la même période, Southfork a commencé une campagne marketing autour d'un produit baptisé Visdom sur son site web. Battelle a alors affirmé qu'il s'agissait d'un clone de Sophia et également que Southfork a prévu d'offrir Visdom comme un produit open source accessibles à tous. Pour confirmer ses dires, l'entreprise a pris des captures d'écran datées du 10 octobre 2013 où il est dit entre autre « nous aurons le code source et un système de suivi problème / fonctionnalité en place sous peu. » mais aussi « nous aimons hacker et nous ne nous arrêterons pas ».

La société a alors demandé au tribunal d'émettre une ordonnance restrictive temporaire à l'intention de Southfork pour empêcher le marketing de Visdom ou son passage à la communauté open-source. Battelle évoque huit chef d'accusations parmi lesquels violation du droit d'auteur, vol de secrets commerciaux, violation de contrats et enrichissement injustifié pour ne citer que ceux là. Battelle a également demandé au tribunal de délivrer l'injonction sans préavis, car il craignait que, dans le cas contraire, Thuen publierait le logiciel en open source.

La juge Lynn Winmill de la cour de district de l'Etat de l'Idaho a autorisé Battelle a fournir à la cour des preuves matérielles de ce qu'il avance en faisant une copie des disques dur de Southfork. « Toute personne qui se revendique comme étant hacker » perd le droit au quatrième amendement qui protège les citoyens des fouilles, perquisitions et saisies de biens a déclaré la juge. Le plaignant a également obtenu une ordonnance restrictive temporaire contre Thuen et Southfork sécurité sans préavis. De plus elle a joué la carte de la sécurité nationale, argumentant que publier les codes de Sophia donneraient les moyens au pirate de déjouer le système de sécurité.

Source : Décision de la cour (au format PDF)

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Nagato Yuki Nagato Yuki - Nouveau Candidat au Club https://www.developpez.com
le 24/10/2013 à 19:16
Pour ou contre la publication en open source du code source d'un système de sécurité ?
Contre évidemment, un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.
Pour le reste de l'article, c'est le problème à Thuen, on peut pas faire grand chose si il s'est planté ou a oublié des exceptions dans sa démarche :B
Avatar de Arnard Arnard - Membre chevronné https://www.developpez.com
le 24/10/2013 à 19:30
Linux est alors un coffre-fort que tout le monde ouvre ?

Ce qui justifie surtout, à mon sens, le choix de ne pas publier, c'est qu'un système de sécurité se retrouve en général sur un réseau isolé, et donc que les mises à jours logicielles ne peuvent donc pas être automatisées comme le ferait un OS ou un logiciel grand public (firefox par exemple).

Du coup, sans mise à jour, le hacker qui décèle les failles pourraient en abuser. Les utilisateurs de ces logiciels n'ont pas en charge tout ce qui est maintenance ou mise à jour, qui est en général une prestation de l'entreprise qui a déployé le logiciel ou alors par un administrateur notifié des instructions.
Avatar de PatteDePoule PatteDePoule - Membre éclairé https://www.developpez.com
le 24/10/2013 à 19:39
Citation Envoyé par Nagato Yuki  Voir le message
Pour ou contre la publication en open source du code source d'un système de sécurité ?
Contre évidemment, un système de sécurité lisible par tous c'est comme un coffre fort avec le code écrit sur la porte.

Pourtant on dit que l'on devrait toujours rendre public un algo de chiffrement. Pour qu'il soit testé de tout bord tout côté et ainsi révéler ses failles s'il y en a.

Là on parle d'un système complet, j'hésite!

Si on garde ça secret le système devient une boite noire. On ne sait pas ce qui ce cache derrière, donc plus long à faire tomber?

Si on rend le système public, la communauté doit être forte sinon c'est seulement une aide pour les hackeurs. Il faut une communauté pour trouver/corriger les failles.
Avatar de GTSLASH GTSLASH - Inactif https://www.developpez.com
le 24/10/2013 à 19:48
Linux est alors un coffre-fort que tout le monde ouvre ?

oui.

Et comme c'est l'OS qui par definition gere la securité du systeme....

C'est pour moi le plus gros defaut des systeme open source. Quoi qu' en disent les fan de l'open source
Avatar de berceker united berceker united - Expert confirmé https://www.developpez.com
le 24/10/2013 à 20:27
L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor" dans un Os ou applications. Le code verrouillé devient une boite noire sans savoir ce qu'il s'y passe et c'est la confiance est entamée.
Avatar de GTSLASH GTSLASH - Inactif https://www.developpez.com
le 24/10/2013 à 20:36
Code : Sélectionner tout
L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor"
1) Les USA auront l'info qu'ils veulent. Que se soit Linux Microsoft ou autres
2)L'utilisateur final veut que ca fontionne et que ca soit facile a utilisé pour un cout raisonable. Comment on fait il veulent pas savoir. Il prefere savoir que derriere nous il y a une societé solide que des geek qui font ca sur leur temp libre

Croire que car c'est OpenSource vous savez tous ce qu'il y a dedans et que ca empeche les ataques c'est totalement faux. Sur quelle OS il y a le plus d'attaque ?
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 24/10/2013 à 20:38
Si je comprend bien, c'est une question de différent juridique sur la paternité d'un projet...que l'un des deux partis veille en faire un produit OpenSource est anecdotique et n'est pas déterminant quand à la question posée.
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 24/10/2013 à 20:49
Normalement, je suis contre la publication en open source de logiciels de sécurité...

MAIS

je serais pour quand il s'agit d'éviter qu'il n'y ait des backdoors.
Avatar de DelphiManiac DelphiManiac - Membre émérite https://www.developpez.com
le 24/10/2013 à 21:23
Citation Envoyé par GTSLASH  Voir le message
Code : Sélectionner tout
L'actualité doit nous faire rappeler que le code sur la sécurité doit être ouvert afin de voir ce qu'il s'y passe réellement et qu'un état comme les Etats-Unis ne demande pas d'y mettre un "Backdoor"
1) Les USA auront l'info qu'ils veulent. Que se soit Linux Microsoft ou autres
2)L'utilisateur final veut que ca fontionne et que ca soit facile a utilisé pour un cout raisonable. Comment on fait il veulent pas savoir. Il prefere savoir que derriere nous il y a une societé solide que des geek qui font ca sur leur temp libre

Croire que car c'est OpenSource vous savez tous ce qu'il y a dedans et que ca empeche les ataques c'est totalement faux. Sur quelle OS il y a le plus d'attaque ?

Un logiciel très répandu en "close source" qui commence par un W, j'ai faux ?

La réponse étais facile, je crois, j'ai honte, mais d'un autre coté, c'est un peu normal que ce soit Windows qui soit le plus attaqué, c'est la plus grosse part de marché, donc la question étais légèrement idiote.

Par contre si des fois, à la place de cracher ta bile, d'avancer tes pseudos vérités non argumentés. Je reprend plus soft. Si des fois tu pouvais nous donner le contexte qui nous permette d'appréhender ce que tu avances et que tu étais prêt a relativiser en fonction du nombre restreint de machine que tu utilises (restreint par rapport au parc mondial), çe serais mieux pour tout le monde. En passant, essaye tout de même de répondre au 2 questions apparaissant ici :http://www.developpez.net/forums/d13...r/#post7531907

_______________________
Pour en revenir au sujet, il me semble nécessaire pour tout logiciel de sécurité qui est suivi régulièrement que celui-ci soit en "open source", je ferais une exception à cela, si le logiciel n'étais pas ou peu suivi où s'il n'étais pas possible d'appliquer les correctifs facilement.
Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 24/10/2013 à 21:37
Un système de sécurité en open source qui serait majoritairement utilisé oui.
Mais un système de sécurité utilisé par une minorité se doit d'être une boite noire pour moi.

La puissance de l'open source c'est la relecture et l'intéressement du projet et de ses sources.
Un système ouvert à tous mais contrôlé uniquement par 5 devs sera rapidement submergé...

A votre avis... Pourquoi les technologies militaires restent secret défense ?
C'est parce que la proportion de personnes intéressées pour déjouer le système est plus importante que celle qui le maintient.
On met quel type d'Unix par exemple sur des machines qu'on doit protéger ? Du ubuntu ? Non... On met un OS fermé et contrôlé.

Pour moi l'open-source ne peut vraiment briller que pour des produits grand public (et dans le sens très utilisé).
Offres d'emploi IT
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil