Le propriétaire de Snort achète ClamAV

Posté par . Modéré par Nÿco.
Tags : aucun
0
21
août
2007
Sécurité
Un des antivirus libres les plus connus est sans conteste ClamAV. Ce logiciel est disponible sous plusieurs systèmes d'exploitations (dont Linux et Windows) et les bases virales sont libres et maintenues à jour par l'équipe de développement assistée de la communauté.

Le 17 août, la société Sourcefire a publié un communiqué de presse dans lequel elle annonce avoir fait l'acquisition du projet ClamAV. Sourcefire est une société spécialisée dans la sécurité qui avait mis la main sur le logiciel de détection d'intrusion Snort il y a quelques années. Pour le rachat de ClamAV, Sourcefire s'est rapprochée de Tomasz Kojm, le fondateur du projet, et de quatre développeurs principaux afin qu'ils continuent de travailler sur le projet par la suite.

M. Jackson, le CEO de Sourcefire, annonce que la société compte rentabiliser son investissement en trois temps :
  • Premier temps, la société mettra en place d'ici la fin de l'année une offre de support et de formation autour de ClamAV.
  • Deuxième temps, une version commerciale et non "open source" sera disponible pour les professionnels début 2008.
  • Troisième temps, la société compte sortir une boîte noire matérielle intégrant ClamAV, qui complémentera l'offre de Sourcefire.

Une telle opération suscite bien évidemment des inquiétudes : quid de la licence et des bases virales ? La société a tenu a rassurer la communauté dans une FAQ publiée sur son site web en affirmant vouloir garder la licence GPL pour distribuer le logiciel ainsi que les bases virales. Voire, car l'exemple de Snort n'est pas fait pour rassurer : depuis que Snort est tombé dans l'escarcelle de Sourcefire, l'accès aux bases de signatures de moins de 30 jours est restreint et payant.

Autre source d'inquiétude, Sourcefire annonce que ClamAV va se focaliser sur la détection virale au niveau du réseau, par opposition à une détection sur le poste client. L'avenir du client "desktop" est-il menacé ?

NdM : voir aussi un journal de tcheuck sur le sujet.
  • # Version non "open source"

    Posté par (page perso) . Évalué à 1.

    Un truc que je pige pas... Comment comptent-ils vendre une version non "open source" de ClamAV sans violer la GPL ? Ils vont tout réécrire à partir de zéro ? :-))
    • [^] # Re: Version non "open source"

      Posté par . Évalué à 2.

      Tu peux vendre un logiciel en GPL si tu fournis les sources.
    • [^] # Re: Version non "open source"

      Posté par . Évalué à 10.

      Si l'on est propriétaire du code, on peut publier l'appli sous plusieurs licences.
      Sourcefire s'est rapprochée de Tomasz Kojm, le fondateur du projet, et de quatre développeurs principaux certes, pour continuent de travailler sur le projet par la suite mais sans doute aussi afin d'obtenir leur autorisation de publier ClamAV sous licence propriétaire.

      Mysql AB et Trolltech, par exemple, fournissent respectivement Mysql et QT sous une double licence libre/proprio.
      • [^] # Re: Version non "open source"

        Posté par (page perso) . Évalué à 5.

        Pour compléter ta réponse, on peut aussi ajouter que si une entreprise veut vendre une solution propriétaire utilisant QT ou MySQL, alors elle doit acheter une licence proprio à TrollTech ou MySQL AB.
      • [^] # Re: Version non "open source"

        Posté par . Évalué à 0.

        Si l'on est propriétaire du code, on peut publier l'appli sous plusieurs licences.
        Que signifie être propriétaire du code d'un programme sous licence GPL ?
        • [^] # Re: Version non "open source"

          Posté par (page perso) . Évalué à 6.

          L'avoir écrit, ou avoir acheté le développeur, ce qui est le cas ici.

          Il ne faut pas oublier que c'est du droit d'auteur quand même.

          Evidement rien n'empeche d'avoir une version réelement libre, forkée depuis la version GPL, surtout si les bases virales ne sont plus disponibles.

          Enfin la base virale étant contruite grace a la communauté, j'ose esperer qu'ils ne la sequestreront pas...
          • [^] # Re: Version non "open source"

            Posté par . Évalué à -2.

            L'avoir écrit, ou avoir acheté le développeur, ce qui est le cas ici.
            Justement, c'est ça que je ne comprends pas...

            - l'avoir écrit : du point-de-vue de la licence GPL, à partir du moment où tu modifies un programme sous cette licence, tu en deviens le propriétaire (tu *dois* remplacer le nom de l'auteur par le tien). Or, la GPL impose également que cette nouvelle version soit redistribué sous les mêmes termes (donc à priori, pas possible de dire "j'en suis l'auteur, je la propriétarise")

            - acheter le développeur : qu'est-ce que ça signifie ? Est-ce possible vis-à-vis de la GPL ?
            • [^] # Re: Version non "open source"

              Posté par . Évalué à 10.

              Quand un auteur diffuse son oeuvre, il choisit la licence. Il n'y est pas lui-même soumis. Il peut la changer quand il le souhaite (c'est à dire diffuser de nouvelles versions sous une autre licences, les versions précédemment distribuées n'étant pas, à ma connaissance, rétro-activement relicenciables).

              Si tu achètes le travail d'un développeur, tu peux acheter le copyright (dans le droit français il y a des droits inaliénables qui ne sont pas vendables, il me semble, mais c'est pas grave ici), et donc devenir la personne qui a le droit de changer la licence si elle le souhaite. De même, si tu paies des développeurs pour travailler sur un projet (ils sont embauchés), tu peux avoir les droits sur leur travail (enfin ça dépend du contrat qu'ils ont signé).

              Évidemment, tant que tu n'as pas le copyright de l'ensemble du logiciel, tu es soumis aux obligations des parties sous GPL des autres auteurs (du point de vue desquelles tu es un utilisateur acceptant la licence). Il faudrait donc acheter les copyright de chaque contributeur (du moins de toutes les contributions qui sont sous GPL), ou retirer leur code du logiciel.

              Pour régler ce problèmes, certains projets ont une politique de "don de copyright" (je ne sais pas si c'est le terme exact) : quand tu contribues, tu acceptes de donner en même temps les droits sur ton travail aux développeurs principaux (ou à la boite qui gère ça, comme Novell pour Mono par exemple). Ça leur permet une plus grande flexibilité à ce niveau là.
              • [^] # Re: Version non "open source"

                Posté par (page perso) . Évalué à 5.

                En fait, le terme adéquat n'est pas "propriétaire" mais plutôt "auteur" ou "ayant-droit" (les auteurs étant les "ayant-droits" du code source). Dès lors que l'ensemble des ayants-droits sont d'accords pour changer la licence, cela est possible pour les versions suivantes : les précédentes versions restent sous GPL bien sûr). Toute la difficulté est souvent de mettre la main sur l'intégralité des contributeurs de code... (certains ne sont plus joignables pour une raison x ou y, par exemple).
            • [^] # Re: Version non "open source"

              Posté par . Évalué à 7.

              - l'avoir écrit : du point-de-vue de la licence GPL, à partir du moment où tu modifies un programme sous cette licence, tu en deviens le propriétaire (tu *dois* remplacer le nom de l'auteur par le tien).

              C'est faux. Tu peux ajouter ton nom puisque tu as fait des modifications, mais tu n'as pas le droit de retirer le nom de l'auteur, sauf s'il te cède explicitement son droit d'auteur (ce qui n'est d'ailleurs pas légal dans tous les pays).
        • [^] # Re: Version non "open source"

          Posté par (page perso) . Évalué à 7.

          Dire qu'un programme est GPL est un abus de langage. La GPL n'est pas une propriété du programme, mais c'est une licence, qui s'applique au moment de la distribution.

          Donc, dans un premier temps, tu peux te demander si tu es propriétaire du code. C'est indépendent de la GPL, et ça dépends juste des loies sur la propriété intellectuelle (qui disent comme le précisent d'autres commentaires, que tu es propriétaire si c'est toi qui a écrit le code, ou si tu l'as racheté, en gros), et après, tu peux réfléchir si tu as la possibilité de l'obtenir ou de le distribuer sous GPL.
      • [^] # Re: Version non "open source"

        Posté par . Évalué à 4.

        Est ce qu'ils ont codé tout clamAV, ont ils les droits sur tous les fichiers et sur la base de virus ? Y a t'il d'autres contributeurs et ont ils leur mot à dire ?
        • [^] # Re: Version non "open source"

          Posté par . Évalué à 4.

          Si les contributeurs ont fait la bêtise de céder la propriété de leurs contributions aux propriétaires de l'application (malheureusement une pratique courante), ils n'ont rien à dire.

          Si les contributeurs du noyau avaient cédé la propriété de leurs contributions à Linus Torvald, Linux aurait pu être transformé en soft proprio ou revendu par L.T. ou ses héritiers.
          • [^] # Re: Version non "open source"

            Posté par (page perso) . Évalué à 3.

            C'est pas forcement une bétise de céder ses droits, ça permet d'éviter le merdier administratif. Il suffit de voir que c'est une des raisons qu'on a évoqué contre le changement en gpl v3 du code du noyau.
            • [^] # Re: Version non "open source"

              Posté par . Évalué à 6.

              Ben ça permet de concentrer tout pouvoirs sur tout le code dans les mains d'une seule entité ou personne... Le problème d'avoir le noyau en GPLv2 est tout de même beaucoup moins grave que le risque de n'avoir qu'une seule personne aux commandes...
    • [^] # Re: Version non "open source"

      Posté par . Évalué à 0.

      A une époque, une boite avait proposé une somme ridicule pour acheter une version du noyau linux (et le mettre sous leur licence). je ne crois pas qu'ils aient réussi.
  • # C'est moche

    Posté par (page perso) . Évalué à 1.

    Allons, allons,

    Ne soyons pas mauvaise langue. Non ne soyons pas.

    Et oui, si ça se trouve SOurceFire va amplifier le développement du logiciel tout en laissant les sources disponibles.


    ...



    ou pas.
    • [^] # Re: C'est moche

      Posté par . Évalué à 6.

      moué, elle devra surtout amplifier le developpement de "virus" linux pour rentabiliser son achat...

      Sourcefire tendrait-il à ^etre le Norton des Linux?
      • [^] # Re: C'est moche

        Posté par (page perso) . Évalué à 3.

        La base virale de ClamAV est clairement orientée Windows non ?
        • [^] # Re: C'est moche

          Posté par . Évalué à -1.

          j'en sais rien, mais avec l'avènement du linux "User Friendly Coca Cola etc..." nommé Ubuntu, les gros constructeurs qui se décident à fournir du linux préinstallé... je vois là un joli marché bien tordu se profiler....
          • [^] # Re: C'est moche

            Posté par . Évalué à 3.

            mais avec l'avènement du linux "User Friendly Coca Cola etc..." nommé Ubuntu,

            attention chérie ça va troller :-)

            Sans rire Ubuntu et donc linux pour les masses c'est pas bien ?, sous mac y'a dèjà pas mal d'utilisateurs incompétents en informatique et il n'y a pas une flopée de virus ...

            donc aucun risque sous debian/ubuntu non ?
            • [^] # Re: C'est moche

              Posté par . Évalué à 3.

              Je ne critique en rien la distro qui n'est qu'une Debian modifiée mais la comm' faite autour, c'est tout.

              Ça ne me dérange vraiment pas qu'elle soit devienne la distro de masse, y a à manger et à boire pour tout le monde.
      • [^] # Re: C'est moche

        Posté par (page perso) . Évalué à 1.

        Plus sérieusement, je suis relativement inquiet par cette nouvelle.

        J'utilise ClamAV sur 2 serveurs et je n'ai pas envie d'avoir recours à une version payante.
    • [^] # Re: C'est moche

      Posté par (page perso) . Évalué à 5.

      Attention chérie... ca va forker...
      • [^] # Re: C'est moche

        Posté par (page perso) . Évalué à 1.

        « Il faut forker. Parce que si forke, on le regrettera peut-être, mais si on ne forke pas, on le regrettera à coup sûr. »

        (Si une bonne âme pouvait me rappeler l'auteur [ou la version originale] de cette maxime ô combien pleine de bon sens !)
  • # Pinaille

    Posté par . Évalué à 10.

    Sourcefire est une société spécialisée dans la sécurité qui avait mis la main sur le logiciel de détection d'intrusion Snort il y a quelques années.

    Le phrasé est un peu douteux. Pour être précis, Sourcefire a été fondé par Martin Roesch, le créateur de Snort, lorsqu'il s'est rendu compte qu'il passait énormément de temps sur ce projet et qu'il en vivrait bien volontiers. Depuis il essaye tant bien que mal de rendre son business rentable. Pour le moment tout ce qui été fait c'est de mettre un système de sas pour la distribution des nouvelles signatures (tout de suite si tu payes, au bout de 30 jours si tu t'enregistres mais tu payes pas, à la prochaine release de Snort pour le reste). Snort est resté libre (GPL).

    ClamAV ça s'intègre bien dans le plan de Sourcefire pour faire comme tout le monde, c'est-à-dire fusionner antivirus, IDS, IPS, firewall, NAC, flan-blah dans des boîtes très coûteuses qui sont censées supporter des floppées de paquets par secondes mais qui sont des bêtes PC pas très puissants : http://cansecwest.com/slides06/csw06-cox.pdf

    Je m'inquiète pas trop pour ClamAV, par contre pour les signatures...
  • # "restreint et payant"

    Posté par . Évalué à 2.

    > l'accès aux bases de signatures de moins de 30 jours est restreint et payant.

    Je suis un peu étonné par le ton employé.
    Depuis quand une version "restreintre et payante" ne peut être opensource ?
    Dit autrement: Depuis quand opensource == gratuit ?
    • [^] # Re: "restreint et payant"

      Posté par (page perso) . Évalué à 4.

      > Depuis quand une version "restreintre et payante" ne peut être opensource ?

      Payant, c'est possible en opensource.

      Restreint, non. Si tu as accès au soft une fois, tu as le droit de l'utiliser éternellement. Cf. point 6 de la définition.
      • [^] # Re: "restreint et payant"

        Posté par (page perso) . Évalué à 4.

        Je pense que l'auteur de la dépêche aurait dû écrire :
        "restreint ou payant" car si l'on devient client de Sourcefire, on a accès sans délais aux mises à jour. La restriction, dans ce cas, est présente sous la forme d'un délai de publication.
  • # Seul la base virale à de la valeur

    Posté par . Évalué à 4.

    Seul la base virale à de la valeur, et elle n'est pas GPL, qui peut me montrer le code source de la base ?
    La base c'est une compilation de morceau de virus qui par définition n'ont pas été écrit par la communauté ClamAV.

    Ecrire un anti-virus en partant de zéro et qui exploite les bases ClamAV il m'a fallut moins d'une semaine pour le faire. Zero code du projet orginale garantie (c'était l'objectif, ok je ne suis pas débutant en dev aussi).
    http://uscanit.free.fr

    Projet abandonné (mais qui fonctionne toujours) car la qualité de la base virale était trop mauvaise. En 2004 seul les virus qui se propagent par mail étaient présents. Pas les virus qui se propagent en exploitant les failles de sécurité des Windows non patché (surtout Windows 2000).

    Rémi
    • [^] # Re: Seul la base virale à de la valeur

      Posté par . Évalué à 2.

      "Seul la base virale à de la valeur, et elle n'est pas GPL, qui peut me montrer le code source de la base ?"

      Remarque interessante, quel copyright protege les bases virales des différents anti-virus?

      Si elles n'etaient pas protogées par le droit d'auteur, je pense que tout le monde se repiquerait ouvertement des signatures.

      On en viendrait peut meme a gérer une seule et unique base de signature, libre et exhaustive...

      Ok, je reve... donc je suppose que les bases virales sont protégées comme le reste du code parce qu'elles ne contiennent pas seulement des bouts de virus, mais des algorithmes permettant de les identifer.

      J'ai bon?

      En tout cas un anti virus n'est pas un IDS, si les signatures ne sont pas a jour il ne sert pas à grand chose.
      • [^] # Re: Seul la base virale à de la valeur

        Posté par (page perso) . Évalué à 2.

        En tout cas un anti virus n'est pas un IDS, si les signatures ne sont pas a jour il ne sert pas à grand chose.

        Parce qu'un IDS dont les bases de signatures et de règles qui ne sont pas à jour sert davantage ?
        • [^] # Re: Seul la base virale à de la valeur

          Posté par . Évalué à -4.

          Parce qu'un IDS dont les bases de signatures et de règles qui ne sont pas à jour sert davantage ?

          Parce qu'un IDS dont les bases de signatures et de règles qui ne sont pas à jour sert davantage ?
      • [^] # Re: Seul la base virale à de la valeur

        Posté par (page perso) . Évalué à 4.

        Je ne sais pas exactement pour les bases virales mais ton raisonnement n'est pas bon.

        Wikiquote avait eu des problèmes [http://linuxfr.org/~gart/19364.html] et ils ont été obligé d'enlever toutes les citations car des personnes auraient recopié des citations venant d'autres base de citation. Et tu as un droit sur le fait d'avoir fait une base de donnée.
        Ce n'est pas une question d'algorithme mais juste que le fait d'assembler des données dans une base de donne un droit sur cette base. Au final on n'a pas le droit de recopier une base de signature si l'auteur ne veut pas.
        • [^] # Re: Seul la base virale à de la valeur

          Posté par (page perso) . Évalué à 2.

          En France, il me semble que ce sont les lois informatique et libertés (du 6 janvier 1978) qui cadrent cela pour les bases de données (au sens large) : protection du "schéma" de la base et protection de l'énumération du contenu de la base sont possibles. Il faudrait retrouver précisément les articles sur légifrance... (il y a bien la loi 78-17 mais cela ne semble parler que des données à caractère personnel ou alors c'est le L122-5 du code de la propriété intellectuelle, que je n'aime pas ce terme :/).

          Cela donne des cas tordus : un dictionnaire qui est une énumération est considéré une base de données et des "mots-pièges" sont parfois ajoutés pour détecter de la repompe automatique (c'est peut-être une légende urbaine...).
    • [^] # Re: Seul la base virale à de la valeur

      Posté par . Évalué à 4.

      Selon la FAQ sur le site de ClamAV :


      Q. Will the project still be licensed under GPL?
      * A. Yes, the ClamAV engine and CVD will remain under GPL.


      Donc apparement les définitions de virus (CVD) étaient et resteront sous GPL.
      • [^] # Re: Seule la base virale à de la valeur

        Posté par . Évalué à 1.

        Ce qui n'empèche pas Sourcefire à rendre les définitions de virus payantes.

        Simplement, ils n'auront à priori pas le droit d'interdire aux clients les ayant acheté, de les redifuser (gratuitement par exemple).

        Que la base de signatures soit sous GPL ou non, ça ne change pas grand chose... ce qui importe, c'est la possibilité ou non d'avoir accès à une base de signatures *à jour* (et le plus rapidement possible bien sûr).
        • [^] # Re: Seule la base virale à de la valeur

          Posté par . Évalué à 1.

          Ne pas avoir accès à la base "à jour" suppose que les dernières versions ne sont pas sous GPL, sinon il suffirait qu'un seul client l'achète et la redistribue pour que ce soit gratuit pour tout le monde.

          Donc de deux choses l'une : soit Sourcefire ment, soit la base à jour restera gratuite.
          Enfin peut-être que le but de Sourcefire est autre : acquérir une expertise, réutiliser des bouts de Clamav dans Snort sous licence proprio, ou bien juste ce qui est dit dans la dépèche, etc. Bref difficile de savoir.
          • [^] # Re: Seule la base virale à de la valeur

            Posté par . Évalué à 4.

            Ne pas avoir accès à la base "à jour" suppose que les dernières versions ne sont pas sous GPL, sinon il suffirait qu'un seul client l'achète et la redistribue pour que ce soit gratuit pour tout le monde.

            Justement, peut-être que ça ne les dérangera pas de commercialiser les mises à jour en sachant que les clients ont légalement le droit de les redifuser. Les professionnels préfèreront de toute façon avoir une garantie, du support, etc...

            Pour ce qui est de savoir si la base sera encore sous GPL ou non, le véritable enjeu n'est pas là.
            Dans la même logique, on peut distribuer des yaourts sous licence GPL par exemple...
            - payants pour les avoir frais
            - gratuits au bout de 30 jours pour les clients enregistrés
            - gratuits en même temps que le prochain vidage de stocks pour les autres

            Ce qui a de la valeur, ce n'est pas tant la base elle-même, c'est la rapidité de sa mise à jour.
  • # Mais c pas vrai.

    Posté par (page perso) . Évalué à -2.

    C'est quoi leur probleme???
    Quand est ce qu'on leur rappelle que le libre c pas la version beta du proprietaire ??
  • # bleeding clamav ?

    Posté par . Évalué à 5.

    marrant que personne n'a encore rappeler l'existence de bleeding snort (http://www.bleedingsnort.com ), cette communauté qui fourni illico des règles snort (et non attendre 30 jours pour la version gratuite de sourcefire)... bon ceci dit, je ne connais que leur existence, après je ne sais pas ce que ça faut j'ai, jamais vraiment testé snort.

    peut-être qu'on aura la même chose pour clamav ?
  • # Sourcefire et Check Point

    Posté par (page perso) . Évalué à 2.

    En octobre 2005, Check Point a tenté d'aquérir Sourcefire pour 225 millions de dollar US, mais en mars 2006 le CFIUS a suspendu la transaction en invoquant des raisons de sécurité nationales.

    J'ai ajouté cette phrase avec des références sur l'article Wikipédia :
    http://fr.wikipedia.org/wiki/Sourcefire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.