l’Open Source: les risques de sa chaîne logistique et les forces de sa gouvernance

L’attrait de l’Open Source a ses limites. Dans ce travail rédigé pour le cours du Prof. Solange Ghernaouti Cybersécurité et intelligence économique, je m’appuie sur des rapport d’acteurs commerciaux pour faire un état des lieux sécuritaires de l’Open Source. On commence avec un rappel historique du Libre et de l’Open Source, passe en suite sur les dangers de l’intégration d’Open Source dans ses projets pour terminer sur l’organisation et la gouvernance d’un projet Open Source qui assure une qualité excellente et durable du code produit.

Cybersécurité & Open Source_contributions et écueils (pdf)

Ce graphique montre l’augmentation radicale des attaques qui ont lieu sur la chaîne d’approvisionnement de logiciels/libraires open source (sonatype 2020)

Cybersécurité & Open Source : apports et menaces

Introduction

Le numérique est partout et la tendance «au tout numérique» porte les bits dans des territoires encore inimaginables auparavant : l’objet de la numérisation, après les communications et documents, est une partie de l’humain. Comportement, habitudes et données biologiques sont capitalisés. Les mesures de quarantaine et confinement de ce début d’année ont permis un bon inespéré dans les récoltes de données sur les émotions et expressions faciales via l’usage massif d’outils de visioconférence (Keegan, 2020). Les questions de cybersécurité en deviennent d’autant plus saillantes. Pour y apporter des réponses, nous nous penchons dans ce travail sur l’apport de la pratique et culture open source. Ce mouvement en pleine expansion (IDC, 2018; Noisette, 2018) apporte-t-il des solutions pertinentes aux défis de cybersécurité ? Quels sont les risques spécifiques de l’open source?

Pour cette mise en rapport nous commençons par définir le mouvement open source, sa philosophie et les mouvements connexes. Nous traitons ensuite des licences, élément légal crucial dans cette approche, et terminons sur un panorama des business models typiques de l’open source. Nous reprendrons aussi les propriétés, domaines d’application et dimensions de la cybersécurité.

Les habituées aux deux thématiques passeront directement aux considérations générales sur les avantages et inconvénients de l’open source pour la sécurité. Les chapitres plus concrets traitent de la supply chain des programmes open source et du modèle semblable de gestion de paquets des distributions GNU/Linux. Nous terminerons ce tour avec une illustration de la politique de sécurité Debian. Nous nous appuyons sur cet exemple pour recommander une gouvernance transparente et participative de la gestion de l’information et de ses systèmes, et cela même pour des projets mondiaux de grande envergure.

 

Open Source

Définition

L’open source est un terme issu de la programmation. Il désigne la publication (mise à disposition du public) du code source d’un programme. L’analogie de la voiture et du plan pour construire celle-ci permet de comprendre l’intérêt et les caractéristiques d’un code open source :

Voiture

Programme

Plan de construction

Code source

Machines et outils

Compilateur/Interpréteur

Matière première

-

Savoir-faire

-

 

Si le programme était un véhicule qu’on achèterait clé en main, le code source serait le plan et l’ensemble des indications pour construire cette voiture pièce par pièce. En poussant l’analogie plus loin, on découvre que le passage du plan à l’objet est plus aisé pour un programme. En effet un programme est une collection de données et d’instructions dont la nature intangible facilite la manipulation. Alors que différentes machines et outils ainsi que le savoir-faire correspondant sont nécessaires à la construction d’un véhicule, il suffit d’un compilateur/interpréteur sur le même ordinateur pour créer le programme en question.

Origine

Le terme open source est apparu à la fin des 1990’s au sujet de la publication du code du navigateur Netscape, ancêtre de Mozilla Firefox (Open Source Initiative, 2002). Avec l’arrivée des masses sur ce nouveau média qu’est Internet, la propagation du terme open source correspond à la préoccupation de programmateurs soucieux de maintenir leurs inventions communes universellement accessibles. Si la démocratisation d’une telle suite d’outils doit passer par leur commercialisation, leurs créateurs veulent maintenir l’esprit d’ouverture et d’échange dans lequel ils baignaient. Le lien entre cette initiative open source et les changements sociétaux initiés par la technologie est ainsi manifeste.

Alors que l’initiative open source (OSI) était une réaction à un cas concret1, elle-même prenait ses sources dans le Free Software Movement formé une décennie plus tôt par Richard Stallman. L’approche de ce mouvement se veut plus complète que l’OSI : il s’appuie sur des principes2, offre un jugement de valeur (Free Software Foundation, 2020b) et assied sa volonté grâce aux licences. C’est pourquoi Richard Stallman parle d’une philosophie du libre.

Autres open : open data, open hardware et open data

Malgré leurs approches différentes l’open source et le logiciel libre s’applique au même objet : le programme. Il est apparu au fil des développements technologiques et de leurs usages dans la société des mouvements semblables portant sur d’autres objets.

Ainsi les 1990’s virent l’apparition du mouvement OSH (« Open-Source Hardware », 2020). Lié au mouvement maker, l’OSH vise une publication des plans et spécifications des composants électroniques (circuits imprimés) et mécatroniques (imprimantes 3D par exemple). Cette attention au matériel s’est concrétisée par un programme de certification initié par (Perens, 1997). Ici encore le mouvement né en réaction au développement économique propriétaire, fermé (closed source) et motivé plutôt par le profit que la recherche et l’innovation3.

 

Durant les 2010’s, tandis que les préoccupations open source et OSH prennent toujours plus d’ampleur, les regards se tournent sur la donnée (data), cet embryon d’information qu’il faut encore mettre en forme (in-former) pour en tirer profit. Alors que la convoitise autour de ces nouveaux assets (biens, avec une valeur reconnue) se fait de plus en plus pressante, des voix s’élèvent pour maintenir publiques les data. Le mouvement open data est né dans des circonstances semblables à l’open source (Kitchin, 2014; « Open Data », 2020). Ses domaines de prédilection de l’open data sont la gouvernance et la recherche.


Illustration 1: Design visuel des objets et savoirs. Les données sont la porte d’accès à l’information et au savoir.

Ce rapide aperçu des mouvements open découvre le caractère réactionnaire de ceux-ci : la valorisation de la publication, de la distribution et du ré usage de ces assets est une réponse à l’appropriation de ces derniers par des privés, opérée à l’aide de la propriété intellectuelle et du secret d’affaire.

Licences

Cette opposition d’idées sur le rôle et la place du code source et autres biens clés se cristallise autour des licences. Ces dernières se réfèrent au droit du copyright, appuyée par la (« Convention de Berne pour la protection des œuvres littéraires et artistiques », 2019). Cet instrument juridique maintenant globalement reconnu (176 pays l’ont signé) est d’origine étasunienne. Sans entrer dans les détails de la convention, notons le principe de la «protection automatique» (art 5.2, (Organisation Mondiale de la propriété intellectuelle, 1979)). En pratique cet article implique que toute création intellectuelle est protégée de facto. Reliée au droit de paternité qui règle les questions de reproduction et de distribution d’une œuvre, la Convention de Berne participe à un appareil législatif qui impose par défaut la reconnaissance de paternité et son verrouillage en dehors des biens communs. Ainsi la publicité (action de rendre public), socle fondateur de l’open source, est confrontée à la protection du droit d’auteur.

Partant de ce constat, les supporters du libre ont inventé des licences dites libres et militent pour un renoncement de ce copyright de facto. Ce dernier point est crucial étant donné le principe de « protection automatique » qui impose le droit de paternité du programmeur ou de son employeur sur le code source. Cet activisme est poussé au point que la Free Software Foundation recommande de négocier la permission pour les employés de publier du logiciel libre lors de la rédaction du contrat d’embauche (Free Software Foundation, 2018). Quant aux licences libres – ​​ ou (« Copyleft », 2020), elles ont fleuri en nombre selon les contextes de création, les industries dans lesquelles elles émergent et proviennent parfois d’entreprises (Intel Open Source Licence (Fedora Project Wiki, 2020), (« Mozilla Public License, version 2.0 », 2020)) ou d’universités (Berkeley Software Distribution (Free Software Foundation, 2020a)). Dans cette multitude se retrouve la préoccupation commune d’assurer la publicité du code produit pour permettre son étude, ré usage et sa distribution.

Les aspects essentiels du cadre légal dans lequel l’open source se meut sont ainsi présentés. Cet appareil juridique soutient alors la publicité du code source mue par des valeurs de partage et de collaboration. À partir de là, comment les contributrices (personnes morales et physiques) à l’open source parviennent-elles à générer du profit ? Comment capitaliser sur le produit de son travail que l’on offre à quiconque ?

 

Modèles d’affaire

La croyance populaire voudrait qu’il soit impossible de tirer du profit en offrant à la société le fruit de son travail. L’inventivité d’entrepreneurs IT, couplée à des valeurs durables de la philosophie du libre, a permis pourtant l’éclosion de multiples modèles d’affaire. La validité de ces business models est attestée par le succès et la stabilité d’entreprises les ayant imaginés ou adoptés. Voyons quelques types de modèles économiques qui ont fait leur preuve.

Le code source appartenant aux assets, la captation de la valeur peut se réaliser dans les services inhérents aux logiciels libres. Que ce soit la formation, le support technique ou le consulting, les opportunités sont nombreuses autour de logiciels et systèmes d’information dont l’interdépendance et la scalabilité nécessitent des connaissances et un savoir-faire pointu.