Résumé :
Le code source est maintenant communicable, mais dans la plupart des cas, on trouvera une excuse pour ne pas vous le donner...
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Je suis pour l'idée de créer un OS souverain développé par la France
Je suis contre l'idée d'un OS pour la France
Un OS pour la France ça ne semble pas très réaliste
Pas d'avis
Résumé :
Le code source est maintenant communicable, mais dans la plupart des cas, on trouvera une excuse pour ne pas vous le donner...
Tu m'enlèves les mots de la bouche.Envoyé par Zirak
Résumé :
Le code source est maintenant communicable, mais dans la plupart des cas, on trouvera une excuse pour ne pas vous le donner...
J'ai l'impression quand même que doucement les mentalités changent, par exemple, prends l'exemple de Admission Post Bac, le code source finira par être dévoilé, alors que l'EdNat est absolument contre, pour on ne sait quelle raison.
De même, hélas, rien ne garantit que le code source publié sera celui utilisé.
Enfin, je pense que la bonne excuse sera dans 99% des cas "non mais on a des mots de passe root/bdd en dur dans le code, et des noms de machine avec le numéro de port".
Et tu dois avoir quelques prestataires de l'état qui vont avoir des sueurs froides si leurs algos sont rendu publics, parce que les concurrents ou des whitehat vont se faire un plaisir de chercher (et trouver) les failles de ces applis.
Durant le millénaire dernier, le code source des logiciels privateurs était distribué dans une version obscurcis.
Bien évidemment, il n’y avait pas de doc' distribuée, les noms de variables sémantiques étaient remplacés par des noms neutres, parfois l’assembleur était distribué à la place du code (les deux répondent à la définition de code source), des instructions qui ne font rien d’utile sont rajoutés… Il y a sans doute d’autres méthodes encore.
Cadeau pour les neuneus qui "n'ont rien à cacher" et qui serait capable d'accepter la surveillance de Nanny State jusque dans leur salon pour calmer leur peur de leur propre ombre : http://www.zerohedge.com/news/2016-1...itter-facebook
La surveillance de masse, c'est avant tout pour traquer les dissidents politiques.
De rien donc.
Oui tu peux vraiment dire "neuneu" pour cet argument de rien à cacher car c'est n'importe quoi. Je ne porte pas d'arme, je n'ai rien à cacher donc je vis à poil. Je n'ai rien à cacher chez moi donc je vis portes et fenêtres ouvertes. Je n'ai rien à me reprocher alors je m'épingle ma carte d'identité et ma feuille d'impôts sur le front. Je n'ai rien à cacher etc... On peut aller loin comme ça.
Bon... A part ça, je crois que je vais attendre longtemps la réponse à ma question pour savoir quels experts ont été auditionnés pour l'élaboration de cette loi...
Et dire qu'il y en a qui réclame toujours plus de contrôle...
Les demandes d’informations sur les utilisateurs de Google émanant des gouvernements ont augmenté de 10 % au premier semestre de 2016. La France est au troisième rang des pays demandant des informations.
http://www.lesechos.fr/tech-medias/h...ns-2034770.php
Oui mais t'inquiètes, ces 10% ne concernaient que des gens connus très important comme des ministres ou de vilains terroristes, pas de simples activistes pour une cause X ou Y qui dérange, ou pour regarder quels sont les termes les plus recherchés et en déduire une mouvance de ce que pense le peuple. Dormez tranquille !Et dire qu'il y en a qui réclame toujours plus de contrôle...
Un bel exemple de mauvaise volonté ministerielle: L'affectation informatique post-bac (APB)
http://www.laviemoderne.net/humeurs/...e-source-d-apb
avec quelques remarques croustillantes:
Le ministère a expliqué ce choix « par des raisons de sécurité, afin d’éviter les attaques informatiques », mais aussi de nouveau « par souci de compréhension, le code source faisant 250 pages de lignes de codes incompréhensibles ».
Bonjour,
Le ministre n'est certainement pas un informaticien . Il ne sait peut-être pas que pour les gens qui défendent le logiciel libre , la sécurité passe par la publication du code source . Toutefois en ce qui concerne les données en temps que tel, je suis d'accord avec lui car cela ne concerne pas dans le secret de fabrication mais cela contre viendrai à la loi sur la protection des données.
Donc peut-être l'algorithme pourrait être rendue publique avec le shémas de la base n'est pas les données .
Qu'en pensez-vous ?
Meilleures salutations
Bonjour,
cet amendement me laisse dubitatif..
car il faut aussi prendre en compte les dispositions de la Loi DADVSI.
pour ce qui est des codes source, la plupart sont de vieux machins qui ne présentent guère d'intérêt.
donc, pas de souci de ce côté.
les rares outils modernes et récents manipulent des données sensibles et donc ceux-là ne seront pas communiqués
pour des raisons de sécurité.
de la gesticulation bref,
un coup d'épée dans l'eau..
un code illisibel, ça se refactore pour devenir plus lisible. Bon, faut avoir du temps devant soi, hein, ça ne se fait pas en claquant des doigts...
Il s'agit d'une formidable opportunité pour la sécurité du SI de l'administration française en pleine mutation depuis quelques années déjà. Pour des raisons de sécurité, j'adopterai la philosophie contraire. Tout publier à l'exception de l'armée dont on ne doit même pas savoir quelle infrastructure est utilisée, et Bercy pour des raisons évidentes de confidentialité. Par contre, tout le reste doit être audité, y compris et surtout la territoriale où chacun est resté libre de faire ce que bon lui semble sans nécessairement disposer des connaissances et de l'expérience d'experts en sécurité. D'autant que les décideurs pour accorder les marchés publics restaient frileux au numérique et à la merci des bonimenteurs ou gourous en tout genre avide de fric.
Cela représente un chantier gigantesque qui une fois abouti donnera un avantage certain et loin d'être négligeable dans l'avenir qui se construit.
De plus, cela peut rapidement devenir un chantier source d'économie en commençant par un inventaire des logiciels utilisés afin de rationaliser les dépenses d'une part et le coût en terme humain d'autre part, mais aussi et surtout remplir pleinement sa mission.
Deux exemples :
sncf.fr, mal codé et non fonctionnel à la différence de ratp.fr
serveur vocal de la CPAM datant des années 90 : inutilisable depuis un mobile ou même un fixe récent.
Autre point :
.gouv encore plus bordélique que les sites de HP et Microsoft réunis. On sent les multiples couches de stagiaires qui sont passés dessus.
Pour conclure, le dernier mais pas le moindre :
Chacun ayant fait sa sauce dans son coin répondant à des paroisses différentes pour savoir qui avait la plus grosse, les formats de données demandent désormais des trésors d'ingéniosité pour refondre ne serait-ce que la paie des fonctionnaires mais aussi les prestations sociales. Louvois ou les services des artisans.
Tous les pays du monde ont fait la même erreur : gouverner leur SI à vue sans réel DSI pour que les élus ne perdent pas leurs prérogatives de pouvoir de décideur. Il en résulte une usine à gaz imbitable, une sorte de monstre hideux, une hydre où chacun pousse ses pions au détriment du bien commun. Cette politique coûte monstrueusement cher à entretenir. En changer ne se fera pas sans investissement : nécessité fait loi. Par contre, et l'image de la fonction publique, et l'image du numérique en seront profondément améliorées, mais surtout à l'heure de 2200 milliards de dette de l'Etat et 8 000 milliards en incluant la territoriale, apporter des économies substantielles de fonctionnement devient loin d'être négligeable.
Ca part d'un bon sentiment mais ce n'est pas possible car au niveau local et territorial, ils font ce qu'ils veulent comme tu l'as dis, ils sont indépendants. Si tu veux changer ça, il faut remettre en cause toute l'organisation administrative en centralisant et/ou en supprimant des couches. Quand tu vois que deux administrations départementales / régionales se frappent sur la gueule pour savoir qui va adopter le système de l'autre... Donc ce n'est même pas un souci technique, c'est déjà un manque de volonté politique pour des raisons de pouvoir et d'influence ou parce que ce n'est pas du tout ce vers quoi les "dirigeants" veulent aller (tout centraliser).
[QUOTE=marsupial;8769761...Autre point :
.gouv ...[/QUOTE]
.gouv ??? en code ouvertPour que n'importe qui soit potentiellement capable de savoir combien tu payes d'impôts et pourquoi tu les payes. Non merci, je préfère le code fermé dans ce cas précis. Et même, dans ce cas, c'est pas l'espionnage des services de renseignement français qui m'inquiéterais, c'est ce que n'importe quel développeur doué serait capable de faire avec de tels renseignements.
D'ailleurs, rien à craindre de la part de l'état, puisqu'il sait déjà tout à mon sujet (c'est un peu pour ça que je continue à ne pas m’inquiéter), mais, le plus important est que ce type d'information n'aille pas n'importe où, et tombe entre n'importe quelles main. Le fait que l'état puisse savoir que ce qu'il sait déjà est vrai, n'est pas prêt de me donner des sueurs froides.
Ce qui m'inquiète le plus est : qui est capable de savoir tout sur moi, en dehors de ceux qui savent déjà ? L'idée qu'un malfaisant Russe, Chinois ou autre partout dans le monde, puisse connaître quoi que ce soit sans que je le sache est plus inquiétant que tout le reste.
C'est déjà en partie le cas...
Ca devrait t'inquiéter puisque c'est justement le contraire qui se passe, l'administration ouvre de plus en plus ses fichiers au privé (hôpitaux, carte grise, etc...) et/ou sous-traite de plus en plus. Donc il est d'autant plus important de ne pas accepter n'importe quel flicage de la part de l'Etat sous prétexte de "sécurité" car l'information est de moins en moins sécurisée et elle est potentiellement de plus en plus exposée. Paradoxal, non ?le plus important est que ce type d'information n'aille pas n'importe où, et tombe entre n'importe quelles main. Le fait que l'état puisse savoir que ce qu'il sait déjà est vrai, n'est pas prêt de me donner des sueurs froides.
Comme je disais, celui qui pense que liberté est l'antagoniste de la sécurité n'a juste rien compris...
Ah ! oui, t'es capable de savoir combien je paye d'impôts toi ? C'est vraiment n'importe quoi. En plus, vous confondez plusieurs choses :
- Ouvrir le code source des applications utilisées par les services publics
- Ouvrir le code source des applications sensibles
- Donner libre accès aux bases de données utilisées par les services publics
- Donner libre accès aux bases de données sensibles
- Donner accès aux informations privées à certaines personnes appartenant à la police, aux services de renseignement et autres pour des buts de défense du territoire et de sécurité des citoyens
- Utiliser des moyens techniques pour piéger des malfaiteurs en tout genre
Bref, certains mettent apparemment tout ça dans le même chapeau et en tirent comme conclusion : On est foutus !
Je parie que ceux qui interviennent ici pour critiquer ce genre de lois n'ont aucune idée de la galère et des tracasseries que doivent subir les flics pour remonter les filières de drogue/prostitution/terrorisme/etc... Mais si vous étiez à leurs places, je suis prêt à parier que vous trouveriez que c'est totalement insuffisant.
Je ne mets pas tout dans le même panier. Je te dis simplement que c'est trop facile de restreindre les libertés des usagers en les bridant toujours plus alors que, d'un autre côté on expose de plus en plus les données.
C'est comme si tu ouvrais la porte de la salle serveur sans restriction d'accès et que tu demandes à tes salariés de badger pour accéder à leur session... C'est ridicule vu que la sécurité est déjà compromise à la source.
Tiens... Il y a qques temps, il y a une administration par chez moi qui s'est fait planter un réseau par le prestataire qui gère le SI, ils soupçonnent que ce soit volontaire car ils étaient en désaccord sur le contrat... Quand tu sais que cette administration est en lien avec la sécurité civile...
Si on voulait durcir, on arrêterait déjà de s'en prendre aux usagers et on reviendrait sur des politiques débiles qui sont mises en place pour gérer les SI de certaines administrations.
Tout ça est juste une fausse excuse pour qu'ils se dédouanent et qu'on fait avaler à la populace par les habituelles stratégies de peur dont tu as d'ailleurs démontré à quel point ça fonctionne...
Pour les policiers, on a déjà tout le flicage qu'il faut... Leur problème est surtout dans la communication, les effectifs et les moyens... Et là encore, on préfère incriminer le citoyen... C'est tellement plus commode...
OS Français
un OS français ?
pourquoi pas ?
même si j'ai le sentiment qu'on arrive un peu à la fumée de cierges..
mais après tout, il n'est jamais trop tard pour bien faire !
ce serait une grande aventure !
la chine a d'ailleurs déjà sauté le pas.
ne serait-il pas plus judicieux de concevoir un OS Européen ?
Vite ! Du mytosyl pour erytheme fessier
Whitehat : que pensez-vous des dispositions prévues par la législation française
Whitehat : que pensez-vous des dispositions prévues par la législation française,
pour protéger les lanceurs d'alerte ?
Lors des discussions à l’Assemblée nationale, un débat a vu le jour sur l’affaire dite « de l’ANSES » et la publication par un journaliste/blogueur célèbre de centaines de Mo de fichiers extraits d’un site officiel censé être sécurisé (accès permis via une simple recherche de documents sur Google). Il a été poursuivi du fait du maintien frauduleux dans l’extranet de l’Agence nationale de sécurité sanitaire, de l’alimentation, de l’environnement et du travail. En vertu des textes et de la jurisprudence, il aurait dû immédiatement se déconnecter et non poursuivre sa consultation (encore moins télécharger 7,7 Go de données). Il a donc été condamné par la Cour d’appel de Paris le 5 février 2014, la Cour de cassation n’ayant fait que confirmer cette position le 20 mai 2015.
Une affaire qui est devenue l’un des sujets qui sur la table des législateurs lors des discussions autour de la loi pour une République numérique, notamment une meilleure protection des « whitehat » qui souhaitent communiquer des failles de sécurité à l’Agence nationale pour la sécurité des systèmes d’information (Anssi). Celle-ci ne se verra plus dans l’obligation de transmettre au procureur des informations les concernant en vertu de l’article 40 du code de procédure pénale..
Pour rappel, l’article 40 du code pénal stipule que « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs »
Les législateurs ont conclu dans l’article L2321-4 que « pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données ».
Et de continuer en soulignant que « l’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée » mais aussi que « l’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information ».
Un texte qui vient donc souligner à nouveau le rôle central de l’Anssi dans le signalement de la vulnérabilité, mais également faire une distinction législative entre le whitehat et le pirate. Pour ce dernier, l’article 323-1 du code pénal indique que « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende » .
Plus la portée du piratage est importante, plus la punition est sévère. Le texte souligne que « lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende ».
Les whitehat ont donc une certaine sécurité juridique à condition que l’Anssi soit contactée sans délais. Bien entendu, il ne doit pas rendre cette information publique. Et s’il venait néanmoins à faire l’objet d’une plainte ? Selon François Coupez, avocat associé du cabinet Atipic, « l’intervention de l’Anssi pourra être de nature à tempérer les ardeurs de l’entreprise [ndlr: ciblée par l’intrusion] lors d’une éventuelle plainte, et aboutir, là aussi, à une meilleure protection des whitehats ». Selon lui, l’Anssi s’organise pour « centraliser en un point de contact unique les remontées d’informations ». Il ne reste plus qu’à savoir si la nouvelle législation aura une conséquence significative sur l’amélioration de la sécurité des systèmes d’information.
Source : Anssi, Article 323-1, Article L2321-4, Article 40
Et vous ?
Qu'en pensez-vous ?
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager