Pratiques dans l'industrie ferroviaire : un train de retard…

68
3
fév.
2024
Technologie

Une histoire, comme il en est tant, hélas, de pratiques anticoncurrentielles dans l’industrie. Oubliez les imprimantes et les tracteurs, cette fois-ci, nous passons à une étape supérieure : les trains. Oui, oui, les trains, vous avez bien lu.

Si les faits se confirment, un constructeur de train polonais aurait été pris en flagrant délit de pratiques anti-concurrentielles.

Sommaire

Les faits

Au printemps 2022, le premier des onze trains du modèle Newag Impuls 45WE, exploités par la compagnie régionale Koleje Dolnośląskie en Basse-Silésie, est en fin de vie. Leur maintenance est gérée par la société Serwis Pojazdów Szynowych, (SPS), qui a remporté l’appel d’offre, pour un prix total d’environ 5,1 millions d’euros (22 millions de złoty). Cette inspection est obligatoire, après un million de kilomètres. Le constructeur à l’origine des trains, la société Newag, a également participé à l’appel d’offres, mais leur prix était supérieur d’environ 696 000 € (3 millions de złoty).

L’entretien d’un train est une affaire complexe : chaque pièce doit être démontée et envoyée aux fabricants concernés pour ensuite être ré-assemblées à leur retour. SPS effectue l’inspection conformément au manuel fourni, d’environ vingt mille pages. Une fois le premier train remonté, l’ordinateur de bord indique le succès de l’opération et la conformité de l’ensemble. Cependant, les onduleurs ne fournissent pas de tension aux moteurs et le train n’avance pas, sans que personne ne comprenne. Les techniciens de service recherchent, vérifient et re-vérifient les composants, parcourent les instructions – et ne trouvent aucune réponse.

Koleje Dolnośląskie dispose de onze trains Impuls et, selon le calendrier, un autre est en cours de maintenance. Tandis que le premier est toujours immobilisé, le deuxième train arrive, subit la même révision, avec malheureusement, le même résultat. Tout fonctionnait parfaitement avant la maintenance, mais les moteurs refusent de démarrer une fois celle-ci terminée. Pour empirer la situation, le constructeur refuse d’aider.

Nous avons maintenant deux trains à l’arrêt dans l’atelier. Le troisième rate l’inspection en raison d’une panne de batterie, et un quatrième train est envoyé à sa place. La société décide d’utiliser la quatrième pour remorquer une des locomotives en panne. Cependant, une fois connectée à l’une d’entre elle, la nouvelle locomotive s’arrête également, mais la raison semble différente et totalement inconnue.

Pendant ce temps, dans un autre atelier, à Szczecin, une autre locomotive Impuls tombe en panne, dans des circonstances très similaires : elle ne redémarre pas après la maintenance.

Le problème devient si grave que les médias s’en mêlent et relatent l’affaire. Les six trains les plus longs de Koleje Dolnośląskie étant hors service, les horaires doivent être réduits, des trains de remplacement doivent être envoyés, et les passagers s’entassent dans des trains trop courts. Newag explique que les trains sont bloqués par un « système de sécurité », mais rien n’est mentionné dans les pages du manuel.

Chaque journée d’un train immobilisé dans l’atelier coûtant plusieurs milliers de zlotys en pénalités contractuelles, et avec plusieurs trains en attente, la tension chez SPS augmente. Le problème n’étant identifié ni par les mécaniciens ni par les électriciens, quelqu’un finit rechercher des hackers polonais, et contacte le groupe Dragon Sector. SPS prend donc contact avec eux, dont les représentants incrédules finissent par signer le contrat. Le projet est entrepris par des membres de Dragon Sector, spécialement ceux connus pour avoir hackés le BIOS de portables Toshiba — Michał « Redford » Kowalczyk et Sergiusz « q3k » Bazański. Kuba « PanKleszcz » Stępniewicz, qui a de l’expérience dans l’automatisation industrielle, se joint également à l’équipe.

L’équipe se met rapidement au travail et Kuba part en voyage à l’atelier. Une fois sur place, ils reçoivent un train qui ne roule pas, deux ordinateurs de rechange et les fichiers SDK du fabricant de l’ordinateur. Ils commencent par écouter le bus de données CAN (Controller Area Network), mais sans information sur les protocoles, la tâche s’avère ardue. Ils tentent de télécharger le microcode de l’ordinateur de bord, mais la documentation du SDK permet uniquement les mises à jour, pas d’inspecter la version installée.

La première tentative d’utilisation d’une ancienne version du micrologiciel, sur un ordinateur de rechange se solde par un échec : l’ordinateur ne répond plus. Ils trouvent finalement l’interface de débogage sur le dernier ordinateur de rechange, et octet par octet, en extraient la mémoire. L’ordinateur est basé sur l’architecture Infineon TriCore, souvent utilisée dans l’industrie automobile, et les chercheurs finissent enfin par examiner le code en utilisant une version modifiée de Ghidra.

Les travaux avancent doucement, mais l’échéance approche et les trains tombent toujours en panne. Dos au mur, Koleje Dolnośląskie, décide de coopérer avec Newag sur l’entretien des trains en panne, y compris ceux qui, selon l’appel d’offres initial, devaient être entretenus uniquement par SPS. Le contrat devant être résilié d’ici une semaine, les chercheurs se mettent à travailler de plus belle.

Le groupe est enfin en possession de tous les micro-logiciels des trains, autant ceux en état de marche que ceux en panne. Chacun des trains ayant des fonctionnalités particulières et une version différente du logiciel, l’analyse est difficile, mais ils commencent à identifier une piste. Entre un ordinateur en état de marche et un autre en panne, certaines plages de mémoire diffèrent. Une fois corrigées sur un ordinateur en panne, celui-ci démarre enfin. Le test étant effectué sur un ordinateur isolé sur un bureau, il s’arrête dès que le logiciel détecte qu’il manque le reste du train, mais il est prêt à faire fonctionner les onduleurs.

Moins de 24 heures avant la date fatidique, les chercheurs identifient des paramètres supplémentaires pour faire démarrer le train. Malheureusement, le condensateur du dernier ordinateur de bord en état de marche brûle pendant les expériences. Après un nouveau brainstorming et de nombreuses tentatives pour combiner deux ordinateurs endommagés en un seul, le premier est réparé, et à 2 heures du matin, la veille de l’heure apocalyptique, les chercheurs configurent l’ordinateur qui fera démarrer le train.

Un de nos héros monte à bord d’un train (d’une autre compagnie) pour rejoindre l’atelier avec un ordinateur probablement en état de marche devant les représentants des chemins de fer de Basse-Silésie, qui ont annoncé leur visite pour 9h30. Malheureusement, le train que prend le chercheur pour se rendre sur place est en retard. Finalement, dans la matinée, un chercheur équipé d’un ordinateur arrive sur les lieux et le connecte au train en panne. Et celui-ci ne bouge pas… Un autre brainstorming identifie le dernier drapeau oublié et à 8h42 le train parvient enfin à démarrer !

La délégation de Koleje Dolnośląskie, voyant à 9h30 que les trains ont une chance de reprendre vie, ne résilie pas le contrat avec SPS.

Pourquoi le train est tombé en panne ?

Déterminer comment faire démarrer le train ne représentait qu’une petite partie du problème. Il fallait maintenant découvrir pourquoi il était tombé en panne.

Des mois d’analyse et de rétro-ingénierie ont permis de révéler des conditions extrêmement intéressantes inscrites dans le code logiciel de différents trains fournis par Newag. Après des centaines d’heures passées à étudier les codes émis par des dizaines de trains, il a été possible d’identifier des mécanismes provoquant des pannes soudaines dans les trains.

Les valeurs numériques 53,13845 et 17,99011 trouvées dans le code informatique semblaient familières à première vue. Il s’est rapidement avéré qu’il s’agissait de coordonnées GPS, indiquant les environs de la gare de Bydgoszcz Główna, ou, plus précisément, le centre de service PESA situé juste à côté. Bientôt, les coordonnées d’autres services susceptibles d’effectuer des réparations et des inspections de trains en Pologne ont également été trouvées. Ci-dessous, nous montrons le pseudo-code de l’algorithme :

check1 = 53.13845 < lat && lat < 53.13882 && 17.99011 < long && long < 17.99837 ;
check2 = 53.14453 < lat && lat < 53.14828 && 18.00428 < long && long < 18.00555 ;
check3 = 52.17048 < lat && lat < 52.17736 && 21.53480 < long && long < 21.54437 ;
check4 = 49.60336 < lat && lat < 49.60686 && 20.70073 < long && long < 20.70840
&& (this->lock_function_test & 1) ;
check5 = 53.10244 < lat && lat < 53.10406 && 18.07817 < long && long < 18.08243 ;
check6 = 50.12608 < lat && lat < 50.12830 && 19.38411 < long && long < 19.38872 ;
check7 = 52.77292 < lat && lat < 52.77551 && 18.22117 < long && long < 18.22724 ;

Les paires de coordonnées définissent les zones d’atelier. Il existe une condition inscrite dans le code informatique qui exige que le train soit désactivé s’il passe au moins dix jours dans l’un de ces ateliers. L’un des ateliers appartient à Newag lui-même - mais une condition logique différente a été définie pour ses coordonnées, probablement à des fins de test.

D’autres surprises furent bientôt découvertes. Il s’agissait notamment du blocage du train lorsqu’un de ses composants (vérifié par son numéro de série) était remplacé. Une option permettant d’annuler le verrouillage a également été découverte — cela ne nécessitait pas de définir des indicateurs au niveau de la mémoire de l’ordinateur, mais uniquement la séquence appropriée de clics sur les boutons dans la cabine et sur l’écran de l’ordinateur de bord.

Lorsque les informations sur le lancement réussi des trains Impuls sont parvenues aux médias, les trains ont reçu une mise à jour logicielle qui supprimait cette possibilité de « réparation ». Un code a été trouvé sur un autre train lui indiquant de « casser » après avoir parcouru un million de kilomètres.

Vérifier la date…

Une situation assez cocasse a été rencontrée dans une autre escouade qui a refusé de démarrer, le 21 novembre 2022, alors qu’elle n’était pas sur place à ce moment-là. L’ordinateur signale une panne du compresseur, les mécaniciens n’ont, pourtant, identifié aucune panne sur le compresseur. Les pantographes ne fonctionnant toujours pas, l’analyse du code informatique a détecté une condition de crash suivante, qui signalait une panne de compresseur :

si le jour est supérieur ou égal au 21 et
si le mois est supérieur ou égal à 11 et
si l’année est supérieure ou égale à 2021

La situation était amusante, car le train devait être inspecté en novembre 2021 (un an avant la panne), mais par coïncidence, la condition n’a pas fonctionné. Le train a été entretenu un instant plus tôt et n’a été relancé qu’en janvier 2022 - et cette date ne répondait plus à la condition logique sophistiquée décrite ci-dessus. C’est probablement l’incapacité de l’auteur du logiciel à écrire correctement des conditions qui a obligé à attendre le 21 novembre 2022 pour que l’on puisse constater l’effet prévu.

Surprise matérielle

Les surprises ne se cachent pas seulement dans les logiciels informatiques. Dans l’un des dépôts, les chercheurs ont découvert un dispositif signé comme « convertisseur UDP / CAN », permettant vraisemblablement une communication à distance avec le train. Le supprimer n’a pas empêché quoi que ce soit de fonctionner. L’analyse a montré que l’ordinateur de bord envoyait des informations sur l’état du verrouillage à cet appareil et que l’appareil lui-même était connecté à un modem GSM.

Pas seulement à Wrocław

L’information selon laquelle le service SPS avait réussi à réparer les trains Newag « cassés » est rapidement parvenue à d’autres services. Cela s’est avéré être un problème assez courant. À Wrocław, ils ont analysé 13 rames Impuls, mais celles qui circulaient à Koleje Mazowieckie sont également tombées en panne (une unité), deux à Opole, quatre à Cracovie, une à Zielona Góra, quatre à Szczecin et une à SKM. Heureusement, chacune a été réparée à l’aide d’un outil développé par nos chercheurs, qui supprime les verrous logiciels de l’ordinateur de bord. Au total, nos collègues ont analysé le logiciel de 29 trains, et seulement cinq ont trouvé des surprises allant au-delà des instructions d’exploitation officielles.

La suite

Nous laissons l’évaluation des solutions utilisées par le fabricant aux lecteurs et clients de cette entreprise. Il est intéressant de noter que, même si des poursuites judiciaires sont en cours, il est difficile de trouver en Pologne une institution qui ferait autre chose qu’exprimer un intérêt amical dans cette affaire.

Nous n’avons connaissance d’aucune mesure prise par « l’Office de la protection des consommateurs et de la concurrence », ni par « l’Office du transport ferroviaire », qui semble pourtant appropriée. Cette dernière à pour rôle de surveiller les pratiques des sociétés qui travaillent avec les organisations gouvernementales locales. Que des voyageurs aient subi des désagréments ou forcés à utiliser des transports alternatifs pendant des mois semble pourtant éligible à un dédommagement.

La seule institution connue à avoir pris des mesures est le CERT Polska, qui a été informé de la découverte par les chercheurs. Le commentaire que nous avons reçu montre que CERT Polska a informé les « autorités compétentes » et que l’affaire est traitée par les autorités chargées de l’application de la loi.

Nous félicitons les meilleurs hackers polonais pour leur découverte intéressante et l’exécution professionnelle de la commande. Décidément rien n’est plus motivant qu’une date limite demain matin.

L’article ci-dessus n’est qu’un bref résumé de la présentation donnée lors de la conférence Oh My H@ck le 5 décembre 2023 par les membres de l’équipe : Jakub Stępniewicz, Sergiusz Bazański et Michał Kowalczyk. L’article a omis de nombreux détails et une grande partie technique de l’analyse — nous ne pouvons qu’espérer que cela motivera les auteurs de l’étude à rédiger et publier son cours. Mis à jour le 05/12/2023 à 16h00

Réponse de l’Office des transports ferroviaires (UTK)

Nous avons reçu la position officielle de l’Office des transports ferroviaires (UTK), que nous citons intégralement ci-dessous :

Le président de l’UTK est au courant de l’affaire et a vérifié les informations concernant les analyses effectuées sur les logiciels des véhicules ferroviaires et coopère également avec les services compétents à ce sujet. En collaboration avec CERT Polska (une équipe créée pour répondre aux incidents violant la sécurité Internet), une réunion avec le constructeur ferroviaire a été organisée. Les véhicules répondent aux exigences essentielles précisées dans les dispositions des directives européennes. C’est la personne qui commande le véhicule qui détermine les conditions de service et de garantie dans le cadre de la liberté contractuelle. Ces exigences sont incluses dans les contrats d’achat de trains. Toute limitation des capacités de service, y compris les limitations introduites dans le logiciel, peut constituer un éventuel litige civil entre le client et le fabricant. Le président de l’UTK n’est pas l’autorité compétente en la matière.

Conformément à l’art. 41 alinéa 2 de la loi du 5 juillet 2018 relative au système national de cybersécurité (texte consolidé : Journal des lois de 2023, articles 913, 1703), l’autorité chargée de la cybersécurité du secteur des transports (hors sous-secteur du transport par eau) est l’autorité compétente en matière de cybersécurité.
Ministre chargé des questions de transports.

Liens

  • # Au trou, oui.

    Posté par  . Évalué à 10.

    À ce niveau, ça devrait être du pénal, pas du civil.

    Excellent article. Juste pour chipoter : 53,13845 et 17,99011 ne sont pas des coordonnées GPS, mais des coordonnées géographiques. Le GPS n'est que l'un des nombreux systèmes permettant de mesurer une position en coordonnées géographiques.

  • # Rançongiciel, piège logiciel.

    Posté par  . Évalué à 9.

    est-ce que cette pratique ne ressemble pas au Rançongiciel, je cite :

    "Un rançongiciel peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent."

    dans le cas présent, l'auteur du logiciel privateur n'est pas un pirate inconnu, mais une société, souvent une très grande société ayant pignon sur rue.

    Ca me fait penser à l'affaire du diesel-gate. Les pièges logiciels peuvent être partout.

    • [^] # Re: Rançongiciel, piège logiciel.

      Posté par  . Évalué à 9. Dernière modification le 04 février 2024 à 07:35.

      on peut trouver sous le vocable proprietary-sabotage, une liste bien longue de malversations touchant tous les domaines techniques.

      On y retrouve : des imprimante, des montres connectées, une grande marque de véhicules électriques, des distributeurs de billets en Russie, l'embarquement de logiciels espions ou portes dérobées, Google en lien avec des banques, permettant dans certaines conditions de désactiver un téléphone Android.

      j'aurai tendance à appeler cette technique : malware institutionnel.

  • # Menaces

    Posté par  . Évalué à 9.

    à noter qu'une pratique habituelle du fabriquant pris en flagrant délit est d'essayer de faire taire les hackers qui ont mis en évidence ou résolu le problème

    et c'est le cas ici,

    je ne sais pas si les menaces de poursuites judiciaires par le constructeur Newag ont été concrétisées mais ça n'a pas intimidé SPS (il y a une vidéo YT)

    Envoyé depuis mon Archlinux

    • [^] # Re: Menaces

      Posté par  . Évalué à 5.

      à noter qu'une pratique habituelle du fabriquant pris en flagrant délit est d'essayer de faire taire les hackers qui ont mis en évidence ou résolu le problème

      Ça, ça n'est possible que si le cadre législatif le permet. Moralement, tu peux trouver la pratique répréhensible, mais si le cadre légal est défavorable dans la balance protection du code / opérabilité, tu ne peux pas faire autre chose que d'admettre que les pratiques contestables du propriétaire du logiciel n'ont pu être mises à jour que par un désassamblage du code, qui (on s'en doute) ne doit pas être autorisé par le contrat entre le client et le fournisseur du logiciel.

      Évidemment, ça serait plus simple de considérer qu'acheter un système embarqué transfert la propriété entière du hardware et du software à l'acheteur, mais à mon avis ça n'est as près d'être le cas.

      • [^] # Re: Menaces

        Posté par  (site web personnel) . Évalué à 5. Dernière modification le 05 février 2024 à 13:56.

        « Évidemment, ça serait plus simple de considérer qu'acheter un système embarqué transfert la propriété entière du hardware et du software à l'acheteur, mais à mon avis ça n'est as près d'être le cas. »

        C'est précisément le problème que résout la GPL n'est-ce pas ? Et précisément celui que tentent de graver dans le marbre des lois comme le DMCA et la DADVSI ?

        Dans un cas, on a un solution imparable contre cette forme d'enshitification pour tout contractant ayant les moyens de négocier des codes sous GPL. Dans l'autre des lois explicitement destinées à permettre tous les abus de la part des vendeurs de logiciels.

        Mais le constater, c'est passer pour un anarchiste extrémiste.

        « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

        • [^] # Re: Menaces

          Posté par  . Évalué à 4.

          C'est précisément le problème que résout la GPL n'est-ce pas ?

          La GPL ne résoud que le problème de la privatisation d'un logiciel libre. Il ne faut pas oublier que la GPL est basée sur une interprétation très stricte du droit d'auteur, puisque l'idée reste que l'auteur d'un logiciel a quasiment tous les droits sur la diffusion de ce logiciel. L'élégance de la GPL est justement d'exploiter cette interprétation très stricte pour faire quelque chose qui, visiblement, n'a jamais été prévue par les concepteurs des lois sur la propriété intellectuelle: autoriser les travaux dérivés mais imposer aux auteurs de ces travaux dérivés de distribuer leur œuvre sous les mêmes conditions. C'est très ingénieux, mais justement, ça repose bien sur l'idée que l'auteur de l'œuvre a tous les droits, y compris de renoncer à certains d'entre eux.

          S'il existait des exceptions claires à ce droit des auteurs à imposer leurs conditions, ça pourrait nuire aux logiciels libres. Si la propriété du code est transférée avec une licence, alors la possibilité de modifier le code et de le relicencier pourrait très bien exister. Comment interdire une clause comme "interdit de désassembler" tout en maintenant valide les clauses "contaminantes" de la GPL? Actuellement, la loi française a des exceptions liées à l'intercompatibilité, et j'imagine que c'est dans ce cadre là que désassembler un code pour faire marcher un équipement pourrait rentrer (tu n'as pas désassemblé pour étudier le fonctionnement du code, tu as desassemblé pour faire marcher l'objet).

          Il existe peut-être des possibilités intelligentes pour éviter tout ça: imposer la publication des specs dès qu'un objet est vendu avec un logiciel, ou à défaut le code du logiciel qui fait tourner l'objet.Si tu ne veux pas filer ton code, tu files au moins les specs (et un moyen de faire tourner ton propre code), et si tu n'as pas les moyens de filer les specs, tu files ton code. Dans les deux cas, tu mets l'utilisateur en situation de pouvoir continuer à utiliser un objet qu'il a acheté.

          • [^] # Re: Menaces

            Posté par  (site web personnel) . Évalué à 5.

            Un défaut dans mon expression sans doute. J’exprimais juste qu’un matériel livré avec du logiciel uniquement sous GPL est, du point de vue de l’acheteur, relativement immunisé des pièges les plus standards, en particulier de ceux que des lois qu’il faut bien qualifier de scélérates transforment en abîmes juridiques sans issus. Dans un monde politiquement dominé par des oligarchies, envisager une réforme sensiblement favorable à la population sur des sujets aussi complexes que le droit d’auteur ne m’avait même pas effleuré. Ma conclusion : la GPL c’est bon.

            « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

            • [^] # Re: Menaces

              Posté par  . Évalué à 4.

              Du point de vue de l'utilisateur du matériel, je ne vois pas vraiment ce qu'apporte la GPL par rapport à d'autres licences libres, type BSD. Justement même, la GPL fournit les droits classiques du logiciel libre, tout en restreignant la manière dont l'utilisateur peut diffuser le code.

              On ne va pas discuter trop longtemps là-dessus, parce que ça me semble être un point assez mineur. Dans un cadre législatif où on achèterait hardware et software dans les mêmes conditions, on aurait le droit de désassembler le code, mais le vendeur aurait le droit de l'obfusquer; on risque au final de ne pas vraiment faire progresser la sitation. Si le vendeur était obligé de diffuser le code des logiciels embarqués sous une licence de type "vous regardez mais interdit de changer quoi que ce soit", on pourrait voir les bugs, mais il faudrait attendre une mise à jour du vendeur pour les corriger, pas terrible (en plus d'être très difficilement implémentable, puisqu'il est très difficile d'empêcher quelqu'un qui a le code de le modifier pour ses propres besoins sans tout un tas de dispositifs pourris, type signature en dur dans le hardware etc. Rendre obligatoire de diffuser le code sous une licence libre, je ne sais même pas si c'est souhaitable; même les entreprises favorables au logiciel libre galèrent énormément à trouver des modèles rentables sans vente de licences, et d'une manière générale ça reviendrait à attenter à la liberté des auteurs de logiciel de choisir la manière dont ils le diffusent (et donc quelque part à saper les bases mêmes de la GPL qui justement repose sur le droit absolu d'un auteur de logiciel de choisir les conditions de sa diffusion).

              En gros, j'ai l'impression que tu as des griefs contre le "système", mais tu n'as pas de modèle alternatif. Actuellement, le modèle de propriété intellectuelle, c'est une liberté quasi-absolue sur les clauses de diffusion, assortie d'exceptions (copie privée, droit de citation, droit à l'interopérabilité…). Retirer des droits aux auteurs risque de limiter la production et la diffusion de logiciels, sans que les avantages soient différents. Peut-être qu'introduire des exceptions supplémentaires ou de mieux protéger en pratique l'exercice de ces exceptions serait plus souhaitable.

              • [^] # Re: Menaces

                Posté par  (site web personnel) . Évalué à 3.

                « Du point de vue de l'utilisateur du matériel, je ne vois pas vraiment ce qu'apporte la GPL par rapport à d'autres licences libres, type BSD. Justement même, la GPL fournit les droits classiques du logiciel libre, tout en restreignant la manière dont l'utilisateur peut diffuser le code. »

                Tout au contraire, il me semblait que la diffusion d'un code en GPL sous quelque forme que ce soit engageait le diffuseur à fournir le code au receveur. À l'inverse, cette clause n'est pas présente dans les autres licences libres. Ce serait d'ailleurs, si je ne m'abuse, la principale innovation et spécificité de la famille des licences GPL. Me tromperais-je ?

                « En gros, j'ai l'impression que tu as des griefs contre le "système", mais tu n'as pas de modèle alternatif. »

                Tout à fait pour le premier point. Absolument pas pour le second. La solution existe — sous réserve de méprise de ma part. Conférer la paragraphe et les messages précédents. Reste aux acteurs d'importance (collectivités, états…) à se découvrir suffisamment d'intérêt pour la chose public pour requérir qu'elle soit mise en œuvre systématiquement.

                « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

                • [^] # Re: Menaces

                  Posté par  . Évalué à 4.

                  il me semblait que la diffusion d'un code en GPL sous quelque forme que ce soit engageait le diffuseur à fournir le code au receveur

                  Non mais là, le "diffuseur" est l'auteur du code. Il te le fournit comme il veut : un binaire, ou le code source, sous la licence qu'il souhaite. Si ce que tu veux c'est avoir accès aux sources et pouvoir modifier le code, tu veux une licence libre, GPL ou BSD c'est pareil, sauf que GPL t'impose des conditions pour le rediffuser, alors que les autres licences libres (non copyleft) restreignent tes droits à faire ce que tu veux du code. Du coup, en tant qu'utilisateur, tu n'as aucune raison de privilégier la GPL par rapport à une autre licence libre. La GPL bénéficie à l'auteur du code, et pas à l'utilisateur (en tout cas, pas directement).

                  La solution existe — sous réserve de méprise de ma part.

                  Bah je n'ai pas compris alors. Tu parles de généraliser la GPL d'un côté, et d'affaiblir le droit d'auteur d'un autre, ce qui à mes yeux est assez contradictoire (c'est le droit d'auteur fort qui permet le copyleft).

                  Imposer une licence libre n'a pas de sens, ni économique, ni même en tant que projet de société. Ce qui coince, c'est la liberté de diffuser le code modifié, qui contrevient aux principes mêmes du droit d'auteur. Ça voudrait dire qu'une fois une oeuvre diffusée à une personne, l'auteur perd l'exclusivité de sa distribution, ce qui était la raison même pour laquelle les droits d'auteurs ont été mis en place au XIXe siècle: l'auteur reste propriétaire des droits, dont il peut concéder l'exploitation à des tiers, les ayant-droits, par contrat. Avant ça, les éditeurs pouvaient par exemple republier des oeuvres tant qu'ils voulaient sans reverser un seul centime aux auteurs, les auteurs perdaient le droit de stopper la diffusion, de renégocier des droits, de changer d'éditeur, etc. Le droit d'auteur est une construction sociale, certes, mais une construction qui identifie un "auteur" et lui donne des droits "artificiels" (patromoniaux et moraux) sur l'oeuvre qu'il a créee.

                  Le "hic" n'est probablement pas dans le principe du droit d'auteur, qui ne fonctionne pas si mal que ça, mais sur la possibilité pour le vendeur d'un dispositif (matériel et/ou logiciel) de ne pas fournir ses spécifications à ses utilisateurs. Tu peux ainsi posséder une boite noire dont tu ne peux pas étudier le fonctionnement, et tu ne peux donc pas la réparer indépendamment du fournisseur alors qu'elle t'appartient pourtant. À mon avis, c'est de ce côté où le droit pourrait être plus protecteur pour le consommateur: la commercialisation d'un produit, quel qu'il soit, doit s'accompagner d'un renoncement à certains secrets industriels. Évidemment, rien n'empêcherait alors les indstriels de te louer les produits (dans le style des box internet), mais cette location a au moins l'avantage de t'assurer un équipement fonctionnel dans le temps (puisque le loueur doit réparer ou remplacer les équipements défectueux). La possibilité de rester avec un équipement non-fonctionnel disparait, même si au passage ton droit de posséder des objets (avec ce qui va avec, usus, fructus, et abusus) disparait également.

                  • [^] # Re: Menaces

                    Posté par  . Évalué à 2. Dernière modification le 27 février 2024 à 10:54.

                    Non mais là, le "diffuseur" est l'auteur du code. Il te le fournit comme il veut : un binaire, ou le code source, sous la licence qu'il souhaite. Si ce que tu veux c'est avoir accès aux sources et pouvoir modifier le code, tu veux une licence libre

                    Non, l'auteur du code ne fournit pas le code comme il veut, c'est contractuel. Souvent, dans l'industrie ferroviaire, l'étude est payée et le code, l'environnement de procédure et la documentation associée doivent être livrés. Il n'est pas habituel que le commanditaire demande à ce que le logiciel soit sous licence libre.

  • # Précédemment sur DLFP

    Posté par  (site web personnel) . Évalué à 5.

    Juste pour rappel, ce scandale sujet non-sujet relatif à un secret des affaires et à des méthodes commerciales tout ce qu'il y a de plus usuels de nos jours avaient déjà reçu quelques commentaires. Notamment ici et . J'ajouterai bien à ces url un lien vers une vue très contextualisante de C. Doctorow qui me paraît intéressante par le côté historique des abus similaires.

    « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

  • # Des standards et de l'interopérabilité

    Posté par  . Évalué à 3.

    "Ils commencent par écouter le bus de données CAN (Controller Area Network), mais sans information sur les protocoles, la tâche s’avère ardue."

    Venant de l'aéro, ce genre de passage m'interroge un peu. Excellent article par ailleurs, qui illustre bien ce qui passe dans la vraie vie de l'industrie …

  • # Evolution politique en Pologne depuis ?

    Posté par  (site web personnel) . Évalué à 3.

    Bonjour,

    Je relis cet excellent article, un mois plus tard, à la faveur des "meilleures contributions du mois". Depuis les faits et écrits rapportés, il y a eu une alternance politique en Pologne, et, à en croire la presse que je consulte, ce serait un retour de l'État de droit.

    Ce changement sera-t-il de nature à rendre possible les sanctions qui semblent de rigueur pour les forfaits dévoilés par les courageux hackers de trains ?

    Intendant, donc méchant, mais libre !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.