Upstream University
[ Français ]

Journée Logiciel Libre

Alcôve et Benchmark Group ont organisé une série de tables rondes et deux conférences sur le Logiciel Libre. L'audience était composée d'une cinquantaine de personnes, travaillant dans les services informatiques d'industriels, et de grands comptes.

Je n'ai pas pris de note sur les autres conférences, par flemme, parce que j'écoutais, ou parce que j'intervenais. Les propos des intervenants rapportés ici le sont pour information et ne présument pas de notre opinion sur les différents sujets abordés.

Le Logiciel libre en entreprise, les enjeux légaux

Isabelle Renard Je travaille pour le service juridique d'Andersen Consulting et nous avons été confrontés au Logiciel Libre. Cela nous a amené à réfléchir à la problématique.

Les acteurs fonctionnent en réseaux et les Logiciels Libres en sont une conséquence. Sans les droits de propriété intellectuelle le Logiciel Libre ne serait rien. Le Logiciel Libre est une utilisation de ces droits.

La démarche est originale car le code source est traditionnellement le fond de commerce de l'entreprise. Toutes les libertés sont définies par la propriété intellectuelle. L'auteur peut en disposer. Le principe du Logiciel Libre c'est que tout un chacun peut exercer ces libertés à la condition exclusive de préserver ces libertés.

Loïc Dachary C'est incorrect, la licence BSD (modifiée) est Logiciel Libre mais ne protège pas ces libertés.

Isabelle Renard Les droits d'auteur sont donc utilisés à rebours, voir copyleft. La licence GNU GPL est l'exemple le plus connu de licence. C'est bien expliqué dans la licence. On est pas dans une zone de non droit : les droits sont respectés et on ajoute un instrument légal qui permet d'exercer ces droits.

Pour certains clients qui voulaient mettre leur logiciel en Logiciel Libre, il y a une forte incitation à utiliser une licence largement répandue. La communauté se méfie des nouvelles licences.

Soit vous êtes un utilisateur soit vous êtes un producteur. Cas utilisateur : indépendance. Ce n'est pas une notion juridique mais lorsqu'on est dépendant d'un logiciel, par exemple dans le cas de marchés publics, cela représente un risque. On requiert alors un séquestre (dépot des sources). Mais parfois l'éditeur refuse et la sécurité qu'apporte ce dépot est très relatif lorsqu'on part à l'international.

Le coût d'acquisition est inférieur. Il y a un revers qui a trait à la garantie. A partir du moment ou un transfert est gratuit le recours n'est pas le même. On constate que cela fait une différence en cas de litige.

Pour un éditeur de Logiciel Libre. Il y a accès à un fond de développement très important. A Thomson on s'est aperçu (developpement de logiciels temps réel) que des développeurs avaient intégrés des Logiciel Libre aux logiciels propriétaires. Mais l'entreprise ne voulait pas jouer le jeu. Il faut donc y prendre garde dès le départ. Cela nous a contraint à réécrire toutes les parties Logiciel Libre afin de pouvoir les diffuser sous licence propriétaire.

Les opportunités, en résumé, il est difficile de dire qu'il y a un réel avantage. D'un point de vue légal le Logiciel Libre est parfaitement licite.

Le risque de garantie. Si un utilisateur a une problème avec un Logiciel Libre il est beaucoup plus difficile de se retourner contre le prestataire de service. C'est plus facile de se retourner contre l'auteur d'un logiciel propriétaire.

La contrefaçon. Quelqu'un déclare que le Logiciel Libre est une contrefaçon. On ne peut plus alors utiliser le logiciel. On a pas de garantie d'éviction. Les constructeurs et sociétés de service ne peuvent pas fournir cette garantie.

Quel est le statut des modifications et des ajouts ? Si un module distinct est réécrit l'auteur peut le diffuser selon les modalités qu'elle souhaite. Le cas ne se présente pas si les auteurs croient au Logiciel Libre. Mais c'est un peu le cas d'Internet, quand ça se diffuse, les risques de dérive plus sont importants. Il faut prévenir au lieu de guérir.

Dans un contrat de travail, les droits d'auteur du salarié sont dévolus à l'entreprise. S'il prend (le salarié) du Logiciel Libre et contrevient aux termes, c'est l'entreprise qui est responsable de violation de licence. Il faut que l'employeur et l'employé soient informés. Il faut avertir les salariés et les employeurs.

En résumé les risques sont : garantie, statut des ajouts/modifications, pas de valorisation par l'entreprise en tant que richesse possédé de façon exclusive.

Brevetabilités. Les logiciels sont des objets diffusables. Le brevet est un droit déclaratif contrairement au droit d'auteur. En Europe les logiciels ne sont pas brevetables. Mais ils sont déposés malgré tout. Le lobby du libre a amené la communauté à réfléchir à la question.

Double débat: pourquoi les brevets si c'est déjà protégé par le droit d'auteur ? Est-ce conflictuel ? Les brevets et droits d'auteur ne protègent pas la même chose, les pro brevets disent que cela favorise l'innovation, les contre brevet disent que cela met les brevets au service des plus gros déposants. Il est un peu difficile de dire que le Logiciel Libre a fait ses preuve. Cela vient mais pas encore. L'enjeu sociologique et moral qui est repris par les élus européens: les logiciels sont de l'information il faut que cela appartienne à tous a aussi son importance.

Les brevets et les Logiciel Libre peuvent cohabiter. Si un objet remplit les conditions de la brevetabilité, il ne faut pas pousser la séparation matériel/logiciel. Si le brevet est diffusé sous forme libre cela remplit les conditions nécessaires au Logiciel Libre. J'ai été choqué par les conséquences du DMCA. Le système des brevets a des dérives. Si on respecte cette logique, c'est un système désirable. Il faut corriger cette dérive.

Loïc Dachary: Explique pourquoi les brevets logiciels sont nocif à l'innovation, pourquoi ils mettent le pouvoir entre les mains d'une poignée des plus gros déposants de brevets, pourquoi il est futile de supposer que les critères de sélection des brevet logiciel peut s'améliorer pour éviter les dépots de brevets triviaux.

Sécurité: les meilleures pratiques

Michel-Marie Maudet: L'absence d'interfaces graphiques des solutions Logiciel Libre est un atout pour la sécurité car l'outil est plus simple, plus compréhensible. L'aspect humain dans la sécurité est important. Il ne faut pas trop se focaliser sur les outils. Le métier de consultant en sécurité demande une attention de tous les instants. Les personnes qui prétendent qu'un outil résoud les problèmes mentent : mal administré cela ne donne rien.

Hugues Obolonsky: La sécurité est une démarche qualité dans l'entreprise, qu'il s'agisse de logiciel libre ou propriétaire. C'est une démarche globale auprès de l'entreprise et de ses employés.

Michel-Marie Maudet: Il faut sensibiliser les utilisateurs aux problèmes de sécurité. Dans de grands groupes les utilisateurs sont souvent le maillon faible (mot de passe scotché sur le clavier, etc.).

Daniel Viñar Ulriksen: Il faut d'abord faire une analyse de risque, sécurité physique, etc. Etudier les critères sécurité, confidentialité, cryptage. La disponibilité, l'intégrité et la traçabilité des donnés sont essentielles. Dans les derniers cas de virus on s'en rend bien compte. Dans le choix d'un Logiciel Libre il y a une démarche plus intelligente. Cela dépend aussi beaucoup de la qualité des équipes. Il faut du personnel formé. Il faut de la maîtrise à tous les niveaux.

Modérateur: Le libre est sensible à quoi ?

Alexandre Otparlic: Pour le projet que j'ai mené, j'ai choisi le libre. L'important est de bénéficier du support de la communauté. Ils ont fait des attaques positives, cherchant et nous informant des problèmes de sécurité. Nous arrivons à gérer les portes d'accès de façon rigoureuse. Il est clair que les serveurs GNU/Linux ne sont pas sensibles bien qu'ils subissent des attaques. Beaucoup de serveurs de développement ont été attaqués. On est à l'abri des attaques grâce à la communauté mais aussi parce que le Logiciel Libre est moins répandu.

Modérateur: Les gens qui font du Logiciel Libre sont portés à faire des attaques.

Hugues Obolonsky: L'esprit n'est pas le même, il s'agit d'identifier les problèmes et non d'attaquer les points faibles. Tous les systèmes d'information sont et seront toujours attaquables. Il n'y a pas de système infaillible. Personne n'est parfait.

Daniel Viñar Ulriksen: On peut raisonner mais les faits sont que le Logiciel Libre et sa dynamique communautaire produit des systèmes mieux sécurisés qu'un logiciel propriétaire soumis au secret. Le danger vient des machines qui marchent trop bien et dont personne ne s'occupe plus et qui laissent des problèmes de sécurité se développer par inadvertance.

Denis Schneider: Il est nécessaire d'implanter une architecture de sécurité globale. Une architecture de sécurité mutualisée est essentielle. Les points d'accès unique sont problématiques. Il faut gérer des droits applicatifs en fonction de profilsr, introduire la notion d'habilitation métier ou applicative. Il faudra déléguer et non mutualiser.

Michel-Marie Maudet: Il est en effet problématique de centraliser l'information d'identification.

Daniel Viñar Ulriksen: Il est nécessaire pour une entreprise d'unifier. D'où les projets d'annuaires centralisés. Ce sera le vecteur de consolidation de l'e-business. Si on fait le bilan des listes d'information contenant des informations redondantes dans une entreprise, c'est effarant. Les Logiciels Libres respectent les normes et sont donc plus efficaces pour implémenter une architecture centrale.

Alexandre Otparlic: Pour le projet dont je parlais tout à l'heure les problèmes de sécurité sont centrés sur la disponibilité et la non intrusion. Nous n'avons pas de données critiques. Nous avons Apache et Tomcat. Les composants sur GNU/Linux ont permis d'appliquer un firewall, une sécurité dans Apache. Ensuite on surveille le système. Nous utilisons des outils standard.

Modérateur: Quels outils libres ?

Denis Schneider: Le challenge du Logiciel Libre c'est de fournir des offres packagées (ex produit Mandrake).

Michel-Marie Maudet: Les composants disponibles en Logiciel Libre implémentent toutes les fonctionnalités disponibles dans les logiciels propriétaires. Il ne reste qu'à les assembler. Sur la fonction proxy, squid permet d'ajouter des modules selon les besoins.

Hugues Obolonsky: La plupart des noyaux Logiciel Libre contiennent des fonctions de filtrage qui vont jusqu'à la qualité de service. Il faut ensuite durcir les systèmes d'exploitation, c'est à dire les sécuriser.

Daniel Viñar Ulriksen: Le cas concret sur lequel nous avons travaillé: intégrer à moindre coût. Nous avons beaucoup de besoins et peu de moyens. Le fait d'avoir des briques de base dans le Libre est un grand avantage par rapport au propriétaire. Pour créer un VPN c'est un grand avantage. Nous avons mis en place un extranet, initialement en utilisant du logiciel propriétaire, qui s'est ensuite intégré dans du Libre parce qu'il était très répandue.

Hugues Obolonsky: Il faut axer la discussion sur la modularité qui permet de répondre exactement aux besoins métier. On aboutira rarement avec le propriétaire à des solutions aussi souples.

Loïc Dachary
 
Sections
Accueil
À propos
Contact
Projets
Upstream University
Gna!
Ferme GCC
Erasure Code Patent StreamScale
Contrats
Liens
April
FSF
   contact@fsffrance.org
Copyright (C) 2003-2011, FSF France, 12 boulevard Magenta, 75010 Paris, France
La reproduction exacte et la distribution intégrale de cet article sont permises sur n'importe quel support d'archivage, pourvu que cette notice soit préservée.
Le présent site a fait l'objet d'une déclaration a la CNIL sous le numéro 1134545. Conformément à la législation française en vigueur et plus particulièrement à la loi du 6 janvier 1978 Informatique et liberté, vous disposez d'un droit d'accès, de rectification, d'opposition et de suppression sur ces données que vous pouvez exercer en écrivant à l'adresse de courriel suivante contact@fsffrance.org ou au siège social de l'association.
 
Updated: $Date: 2003-02-28 16:16:22 +0100 (Fri, 28 Feb 2003) $ $Author: loic $