Journal Grsecurity attaque Bruce Perens en justice pour diffamation

Posté par (page perso) . Licence CC by-sa
Tags : aucun
71
4
août
2017

Tout d'abord un peu de contexte.
Grsecurity/PaX est une série de patchs développés dans l'optique d'améliorer la sécurité du noyau Linux. Ces patchs n'ont, pour diverses raisons, pas été intégrés upstream dans le noyau vanilla et il s'agit donc d'un patch externe que les utilisateurs doivent appliquer au code source du noyau avant de le recompiler.

Open Source Security, Inc est la société qui commercialise le patch Grsecurity auprès de ses clients. L'accès au patch a été progressivement fermé par Brad Spengler et PaXTeam (les auteurs). Tout d''abord c'est la version stable qui, en 2015, a été réservée aux clients et puis finalement en avril 2017 ce sont mêmes les versions de test qui ne sont plus accessibles aux gens qui ne payent pas.

Grsecurity, en tant que dérivé du noyau, est bien entendu sous licence GPLv2. Alors comment est-il possible d'empêcher sa redistribution par un client d'Open Source Security Inc ?
C'est une astuce juridique qui est utilisé pour cela : les clients doivent signer un agrément qui stipule que s'ils redistribuent le patch à des non clients (comme l'autorise la GPL) alors ils n'auront plus aucun accès aux futures versions.

C'est là qu'intervient Bruce Perens, un ancien leader du projet Debian et créateur de l'Open Source Definition. C'est une personnalité très respecté dans le monde du libre. Fin juin il a publié sur son blog un avertissement aux clients potentiels d'Open Source Security Inc.
Selon lui l'agrément que fait signer cette société à ses clients enfreint la GPLv2.
L'article 6 de la GPLv2 stipule en effet qu'on ne peut imposer des restrictions additionnelles:

Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

C'est ce post de blog qui a fait enrager les auteurs de Grsecurity puisqu'il peut potentiellement faire peur aux clients et donc affaiblir leur société.
Selon l'article publié sur The Register une procédure juridique pour diffamation à été lancée à l'encontre de Bruce Perens (et de son hébergeur internet).

L'argument utilisé par Open Source Security Inc. pour montrer qu'elle n'enfreint pas la GPLv2 consiste à dire que les clients qui enfreignent son agrément n'auront plus accès aux futures versions. Comme la version actuelle utilisée par le client est toujours redistribuable alors cela n'enfreint pas la GPL.

IANAL donc je ne sais pas qui a raison dans cette histoire. Je ne sais pas non plus analyser comment cette politique d'Open Source Security Inc. se compare avec la politique de Red Hat. Est-ce que c'est exactement pareil ou bien est-ce qu'il y a des détails cruciaux qui divergent ?

Toujours est-il qu’attaquer en diffamation Bruce Perens, au lieu de simplement publier un post pour expliquer en quoi il se trompe, c'est clairement un truc bien pourri qui ne va pas bien passer dans le monde du libre. Et assigner aussi en justice son web host afin d'ordonner la fermeture de son blog, c'est plus un truc que ferait une grosse multinationale sans âme que des membres de la communauté.

Les auteurs de Grsecurity, en dépit de leur excellence technique, ont toujours eu une réputation de têtes de cochons incapables de travailler sereinement avec les autres. Ce n'est pas cette dernière péripétie juridique qui va faire évoluer l'opinion commune à leur sujet.

  • # Diffamation vs opinion

    Posté par . Évalué à 10 (+20/-0). Dernière modification le 04/08/17 à 10:26.

    Bizarre cette attaque en diffamation, pourtant le post de Bruce Perens est équivoque sur son blog, il s'agit d'une opinion pas d'une affirmation. Et à la fin il précise bien qu'il faut se référencer à un avocat sur la question du droit :

    « I am an intellectual property and technology specialist who advises attorneys, not an attorney. This is my opinion and is offered as advice to your attorney. Please show this to him or her. Under the law of most states, your attorney who is contracted to you is the only party who can provide you with legal advice. »

    On peut s'attendre quand même à un effet Streisand sur Open Source Security, Inc.

    • [^] # Re: Diffamation vs opinion

      Posté par (page perso) . Évalué à -1 (+11/-14). Dernière modification le 04/08/17 à 10:58.

      pourtant le post de Bruce Perens est équivoque sur son blog,

      Voulais-tu dire "non équivoque"? Car le reste de ton message le laisse entendre.
      Sinon, oui je suis d'accord avec toi c'est équivoque ;-).

      il s'agit d'une opinion pas d'une affirmation. Et à la fin il précise bien qu'il faut se référencer à un avocat sur la question du droit

      De mon point de vue, je me sens manipulé : un disclaimer à la fin, mais au début :
      "It’s my strong opinion that your company should avoid the Grsecurity product sold at grsecurity.net because it presents a contributory infringement and breach of contract risk."

      La phrase, telle que je la comprend, a 2 parties : son opinion est d'éviter, mais pourquoi? réponse en deuxième partie, car ça enfreint, sans opinion (présenté comme un fait "because it presents", et le mot à la fin "risk" ne tempère que peu), et ça c'est mal. Un disclaimer a la fin ne change pas la manipulation au début, dans la première phrase, celle que les gens vont retenir.
      C'est très très équivoque… Et malsain dès le départ, en mélange des affirmations et des opinions (le disclaimer aurait dû être au début de son post, et afficher clairement que ce n'est que son opinion et que rien n'est sûr dans ce qu'il dit). Le procès est pas forcément malin, mais se comprend si l'auteur a été averti au préalable du problème de sa formulation, et surtout si les clients ont remonté des peurs (on ne sait pas ça, mais j'imagine que le procès n'est pas fait pour rien), et ça peut chiffrer vite en coût (conséquence de la phrase, si elle est fausse, et attaquer "gratuitement" une entreprise n'est pas bien vu par la justice, exemple).

      On peut s'attendre quand même à un effet Streisand sur Open Source Security, Inc.

      Ils ont déjà tous les pro-GPL contre eux (Open Source Security étant déjà connu dans le milieu GPL et "intégristes libristes"), ça ne va pas changer grand chose.
      Par contre, ils vont sans doute avoir de la compassion de tous ceux qui se prennent des "mais si, tu enfreins la GPL, allez mise au pilori méchant et je ne compte pas discuter", et ça risque aussi de faire fuir les potentiels sponsors de logiciels GPL ("hum, votre licence est trop peu claire, ça trolle à tous vas, on va éviter de s'embarquer dans ce bordel") à part pour ceux utilisant la GPL avec tous les droits à l'entité (ça permet de faire la GPL comme produit d'appel pour vendre la version non libre, business différent), pas sûr que l'effet Streisand soit dans le sens que tu penses.

      L'avenir nous départagera.


      Perso, ça me rappelle, pour les diableries franco-françaises, le procès contre Iliad, où les personnes affirmant publiquement que la GPL a été violée n'étaient pas foutu d'aller jusqu'au bout pour demander l'avis d'une tierce personnes (un juge), et on préféré ne pas prendre le risque de se faire infirmer leur façon de voir. Il y a un problème dans le monde de la GPL, c'est celui d'affirmer plein d'obligations et faire du "public shaming" sans tenter préalablement de demander à un juge si leur façon de voir est correcte. Le "public shaming" n'est pas vu par tout le monde comme positif.

      • [^] # Re: Diffamation vs opinion

        Posté par (page perso) . Évalué à 4 (+2/-0).

        La phrase, telle que je la comprend, a 2 parties : son opinion est d'éviter, mais pourquoi? réponse en deuxième partie, car ça enfreint, sans opinion (présenté comme un fait "because it presents", et le mot à la fin "risk" ne tempère que peu)

        Je lis la phrase un petit peu différemment. Pour moi, le “It’s my strong opinion” s’applique à la phrase entière :

        • It’s my strong opinion that
          • you should avoid… (opinion)
          • because it presents… (opinion aussi)

        au lieu de

        • It’s my strong opinion that you should avoid… (opinion)
        • because it presents… (affirmation)

        Mais je suis d’accord que la formulation est ambigüe. Et venant d’un “intellectual property specialist” (donc quand même un peu juriste même si pas “avocat”), je me demande si l’ambigüité n’est pas voulue…

        Sur le fond du sujet, je me permets de reposter ce message de Jonathan Corbet sur LWN, selon lequel ce que fait Grsecurity serait conforme aux termes de la GPL :

        You can't forbid redistribution, but you can terminate the contract if redistribution happens. I remember that even Richard Stallman has said that such terms are legitimate, though I can't find the reference now.

        • [^] # Re: Diffamation vs opinion

          Posté par . Évalué à 5 (+3/-0). Dernière modification le 04/08/17 à 14:30.

          Je lis la phrase un petit peu différemment. Pour moi, le “It’s my strong opinion” s’applique à la phrase entière

          Pas pour moi. Dire "because it presents" au lieu de "because it may present" change le sense de la phrase radicalement. La seconde partie de la phrase est clairement une affirmation.

      • [^] # Re: Diffamation vs opinion

        Posté par . Évalué à 3 (+1/-0). Dernière modification le 04/08/17 à 15:12.

        Oui je voulais dire « non équivoque ».

        Le truc c'est que ce procès ne va pas clarifier quoique ce soit au sujet de la GPL ni servir de jurisprudence. Au mieux ce procès va juste définir si c'est de la diffamation ou pas. On ne sera donc pas plus avancé à la fin, à part savoir si on peut publiquement rentrer dans le lard de grsecurity sans risque.

      • [^] # Re: Diffamation vs opinion

        Posté par . Évalué à 2 (+2/-2).

        Perso, ça me rappelle, pour les diableries franco-françaises, le procès contre Iliad, où les personnes affirmant publiquement que la GPL a été violée n'étaient pas foutu d'aller jusqu'au bout pour demander l'avis d'une tierce personnes (un juge), et on préféré ne pas prendre le risque de se faire infirmer leur façon de voir. Il y a un problème dans le monde de la GPL, c'est celui d'affirmer plein d'obligations et faire du "public shaming" sans tenter préalablement de demander à un juge si leur façon de voir est correcte.

        Ce que tu racontes n'a aucun sens en France, où le système juridique est romano-civiliste. Les juges ne créent pas le droit, contrairement au système de common law. Le juge français en l'occurrence aurait décidé pour ce cas précis en fonction du droit (est-ce que le contrat a été violé ou pas), il n'aurait pas dit si la GPL est valide ou pas.

        • [^] # Re: Diffamation vs opinion

          Posté par (page perso) . Évalué à 7 (+5/-0).

          Les juges ne créent pas le droit, contrairement au système de common law.

          Mais les juges interprètent le droit aussi, la jurisprudence existe en France également.

          Le juge français en l'occurrence aurait décidé pour ce cas précis en fonction du droit (est-ce que le contrat a été violé ou pas), il n'aurait pas dit si la GPL est valide ou pas.

          Mais si la clause dont il est question est invalide en droit français, le juge peut aussi le notifier dans le jugement car il sera question de la validité et du respect de cette clause, pas que du respect.

  • # Comportement et alternatives

    Posté par . Évalué à 1 (+9/-9).

    Je trouve leur comportement plus que discutable, je ne vois pas comment on pourrait décemment les trouver sérieux. Ils utilisent manifestement tout ce qui est dans leur pouvoir pour forcer leurs utilisateurs à les financer, au dépends d'une partie des utilisateurs finalement.

    En dehors de ça, rappelons qu'il existe des alternatives pour ceux qui veulent un environnement sécurisé… et que GNU/Linux n'est qu'un système parmi d'autres ! Si vous vous inquiétez de la sécurité de votre système, OpenBSD (par exemple) est une très bonne alternative, avec un développement bien plus sain.

  • # Garbage!

    Posté par . Évalué à 10 (+21/-0).

    IANAL donc je ne sais pas qui a raison dans cette histoire.

    Ça ressemble à l'exploitation d'un loophole de la GPLv2, et que seule la jurisprudence pourra clarifier.

    Pendant ce temps, Linus a parlé:

    Don't bother with grsecurity.

    Their approach has always been "we don't care if we break anything,
    we'll just claim it's because we're extra secure".

    The thing is a joke, and they are clowns. When they started talking
    about people taking advantage of them, I stopped trying to be polite
    about their bullshit.

    Their patches are pure garbage.

    Linus

    • [^] # Re: Garbage!

      Posté par . Évalué à -5 (+3/-10).

      Pendant ce temps, Linus a parlé:

      J'aurai aimé savoir pourquoi il dit que c'est de la merde, au final. Parce que bon, le message de L.T. est juste totalement inutile ici.

      • [^] # Re: Garbage!

        Posté par (page perso) . Évalué à 10 (+12/-0).

        Surtout que le message de Linus date de juin ne porte pas sur le procès fait à Bruce Perens mais uniquement sur les fonctions de sécurité de Grsecurity.
        Il a toujours été d'avis que le code du noyau doit être maintenable, que les devs doivent travailler ensemble et que l'accent ne doit pas porter exclusivement sur un domaine au détriment de tous les autres. Comme Brad et PaXteam ne pensent qu'en terme de sécurité et qu'ils semblent incapables de bosser avec les simples mortels qui peuplent ce monde, il est normal que Linus ne veuille rien avoir à faire avec eux.
        Après il y a son ton abrasif habituel.

        • [^] # Re: Garbage!

          Posté par . Évalué à 5 (+3/-0).

          Pour moi la partie intéressante est celle-ci:

          and they are clowns. When they started talking
          about people taking advantage of them, I stopped trying to be polite
          about their bullshit.

          Je ne suis pas GRSecurity de près et ça pré-date l'histoire de procès, mais il me semble que Linus ne fait pas spécificquement référence à la qualité du code de GRS ici, mais bel et bien à leur argument pour justifier le passage en version payante sans possibilité de redistribuer le code sans conséquences.

          • [^] # Re: Garbage!

            Posté par . Évalué à 3 (+4/-3).

            il me semble que Linus ne fait pas spécificquement référence à la qualité du code de GRS ici

            Their approach has always been "we don't care if we break anything,
            we'll just claim it's because we're extra secure".

            «Leur approche à toujours été "on s'en fout si on casse quoique ce soit, on dira juste que c'est parce qu'on est plus sécurisés"»

            Their patches are pure garbage.

            «Leurs patchs sont de purs déchets.»

            Pour moi, ça parle bien de la qualité du code, et rien à avoir avec le côté fermeture…

            • [^] # Re: Garbage!

              Posté par . Évalué à 3 (+1/-0). Dernière modification le 04/08/17 à 15:28.

              Duh. Mon message au-dessus porte spécifiquement à la partie du message mis en citation.

              Après, il est évident que le reste du message et sa conclusion globale portent sur l'aspect technique de GRS, mais on connaissait déjà l'avis de Linus là dessus.

  • # Les quatre libertés des logiciels libres

    Posté par (page perso) . Évalué à 3 (+5/-3).

    IANAL donc je ne sais pas qui a raison dans cette histoire. Je ne sais pas non plus analyser comment cette politique d'Open Source Security Inc. se compare avec la politique de Red Hat. Est-ce que c'est exactement pareil ou bien est-ce qu'il y a des détails cruciaux qui divergent ?
    

    Les quatre libertés fondamentales des licences libres et open source sont :
    - la liberté d'utiliser le logiciel
    - la liberté de copier le logiciel
    - la liberté d'étudier le logiciel
    - la liberté de modifier le logiciel et de redistribuer les versions modifiées

    Open Source Security Inc ne permet plus la totalité ces quatre libertés sur ses patchs, donc peut-on encore parler de logiciel open source ? Red Hat n'a jamais interdit à quinconce de redistribuer ses logiciels ou ses patchs, la preuve la naissance de CentOS qui est une Red Hat recompilée sans le logo Red Hat.

    • [^] # Re: Les quatre libertés des logiciels libres

      Posté par (page perso) . Évalué à -3 (+7/-12). Dernière modification le 04/08/17 à 18:46.

      Open Source Security Inc ne permet plus la totalité ces quatre libertés sur ses patchs,

      Démontre-le, à la place de continuer dans le troll sans réfléchir (tu crois que si il y a un procès c'est que ton interprétation est évidente et la seule possible, vraiment?) et sans prendre en compte que ce raisonnement a déjà été mis en cause (genre lire les commentaires).

      Au cas où tu souhaites connaitre le problème dans ton raisonnement, Open Source Security Inc permet tout dans les 4 libertés dans ce qu'il fournit. Il dit juste que si tu utilises ces libertés, il n'aura plus envie de travailler pour toi dans le futur (donc il te laisse les 4 libertés, totales, pour ce qu'il t'a fourni, à vie, si si).

      Les 4 libertés, ce n'est pas la première fois que des gens en feraient une interprétation un peu trop large et surtout adaptée à leurs idées (qui va de "TiVo doit lâcher son verrou même pour du GPLv2" à "la CC NC est compatible avec le libre si si"), alors "ne permet plus" balancé comme ça…

      On peut ne pas être d'accord sur l'analyse (il va falloir argumenter…), on peut trouver ça comme une faille (qu'il va falloir démontrer… Car difficile de parler d'engagement futurs pour la licence d'un code livré en GPL donc qui respecte la GPL initiale de Linux dans ce qui est livré, la GPL ne parlant pas d'une modification futur d'un nouveau livrable), mais balancer "ne permet plus" quand le sujet est débattu et est justement le sujet du conflit est seulement de la mauvaise foi trollesque sans aucun apport pour le libre (voir au contraire fait passer les libristes pour des intégristes trolleurs, pas bon pour la réputation du libre).

      En réalité, tu ne sais pas.

      Note : j'ai un avis dessus, mais je ne m'avancerai pas à dire "c'est celui que dira un juge" ou dire brutalement "c'est comme ça, pas de discussion" : c'est juste un avis, c'est tout.

      • [^] # Re: Les quatre libertés des logiciels libres

        Posté par (page perso) . Évalué à 7 (+6/-2).

        Et donc c'est quoi ton avis ?

      • [^] # Re: Les quatre libertés des logiciels libres

        Posté par (page perso) . Évalué à 5 (+6/-2).

        Ce n'est pas un troll, c'est juste mon avis personnel qui n'engage que moi, des libertés sous couvert d'une menace ne sont plus vraiment des libertés, les clients de Open Source Security, Inc ont intérêt a respecter l'agrément. Je voulais surtout faire le parallèle avec Red Hat, qui n'impose aucun agrément liberticide de ce type, n'importe qui peut recompiler une redistribution Red Hat, sans l'appeler Red Hat bien sûr.

        Comme le fait remarquer Bruce Perens le confondateur de l'Open Source Initiative :

        Article 6.
        La diffusion d'un Programme (ou de tout travail dérivé) suppose l'envoi simultané d'une licence autorisant la copie, la distribution ou la modification du Programme, aux termes et conditions de la Licence. Vous n'avez pas le droit d'imposer de restrictions supplémentaires aux droits transmis au destinataire. Vous n'êtes pas responsable du respect de la Licence par un tiers.

        Donc, à mon humble avis, cet agrément est une restriction supplémentaire. Donc effectivement, la licence GPL ne tiendra peut-être pas devant un juge, après un des clients d'Open Source Security, Inc peut ne pas respecter l'agrément et créer un fork. Mais pour moi l'open source est bien plus qu'une licence, c'est également un modèle de développement, une certaine transparence et Open Source Security, Inc sont à des années lumière de cet état d'esprit.

        • [^] # Re: Les quatre libertés des logiciels libres

          Posté par . Évalué à 5 (+6/-2).

          C'est flou.

          Avec le code qu'ils te filent tu peux faire ce que tu veux, donc… pas de contraintes.

          Mais ils gardent la liberté de t'envoyer balader pour les versions suivantes, qu'ils ne t'ont pas encore donnée, donc sur lesquels tu n'as pour l'instant aucun droit.

          • [^] # Re: Les quatre libertés des logiciels libres

            Posté par . Évalué à 0 (+0/-1).

            Bon, je ne suis pas développeur pas informaticien et je vais peut être dire une connerie : tu changes 3 lignes de code et tu estampille la v2.0.1 en v2.1.
            Et là t'affirme que c'est une nouvelle version. On a les droits sur la 2.0 mais pas sur la 2.1.

            Bref j'ai un peu le sentiment que cet éditeur peut raconter n'importe quoi et au bout du bout "enfler" le client.

            • [^] # Re: Les quatre libertés des logiciels libres

              Posté par . Évalué à 3 (+2/-1).

              On quoi ce scénario enfle le client?
              Le client a toujours une gpl sur la 2.0, qui est visiblement la meme que la 2.1, quel est le problème?

              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

              • [^] # Re: Les quatre libertés des logiciels libres

                Posté par . Évalué à 2 (+1/-1). Dernière modification le 07/08/17 à 13:26.

                Le problème est que l'utilisateur est censé avoir une liberté sur la GPL v2.0, mais qu'en réalité, pour faire jouer cette liberté, il y a une contrepartie supplémentaire a payer. Si tu as paye (ou pas) pour un soft en GPL, tu ne devrais pas a avoir de limitation a user des 4 libertés que tu as achetées.

                Comme d'autres, je ne suis pas un lawyer, mais j'ai vraiment du mal à croire que cette interprétation puisse tenir la route. Ces conditions me semblent être une très nette restriction aux libertés de la GPL (et sont clairement conçues comme telles) et donc être en contradiction avec la clause:

                You may not impose any further restrictions on the recipients exercise of the rights granted herein

                • [^] # Re: Les quatre libertés des logiciels libres

                  Posté par (page perso) . Évalué à 4 (+3/-1).

                  mais j'ai vraiment du mal à croire que cette interprétation puisse tenir la route.

                  Pour toi, tu as donc du mal à croire que si j'ai 2 contrats distincts
                  - un qui est GPL, OK
                  - un qui dit que si tu utilises tes droits, on travaillera plus avec toi

                  ça peut pas tenir la route car tu t'en fou que le contrat ne soit pas le même? Bon courage…
                  Perso, j'ai du mal à voir, en dehors de toute question philosophique, quel contrat tu vas poser sur la table du juge.

                  Mais admettons que ça passe, maintenant comment fais-tu si:
                  - A file à B le code GPL
                  - C a un contrat qui dit que si tu diffuses le code GPL il ne travaillera plus avec toi.
                  avec A et C juridiquement complètement séparés (juste que C tombe toujours par hasard sur une page web qui permet de télécharger un code GPL fait par A)

                  Tu attaques qui? A ou C?
                  Bref, avant d'avoir du mal à croire, regardez bien de quoi ça parle, la GPL (et ses restrictions sur les restrictions) semble (je ne suis pas un lawyer pareil, certes, je peux me tromper mais j'évite de dire que j'ai du mal à croire à une quelconque version : les 2 versions sont possibles, et dire "j'ai vraiment du mal à croire que" me semblerait bien présomptueux, pas vous?) s'appliquer au code que tu reçois (et celui n'a aucune restriction), pas à un autre code (sujet du problème : la restriction est sur une contrat de support et pas sur le code fourni). Je sais que je me répète mais pas mal de monde oublie que la GPL ne s'applique qu'au code qu'on reçoit (et pas à celui qu'on ne reçoit pas, ça semble évident mais souvent oublié quand des gens parlent de la GPL "pour l'humanité" dont la GPL se fout complet en vrai).

                  Bref, je ne suis pas un lawyer mais j'ai du mal à comprendre comment des gens peuvent avoir du mal à croire une position loin d'être évidement illégale (au contraire même), j'ai l'impression qu'il y a un biais genre "j'aime la liberté mais la restreindre aussi pour le bien enfin c'est moi qui le dit donc ne veut pas croire qu'on ne puisse pas restreindre". Pourquoi ne simplement pas se dire "en fait, les 2 sont possibles, j'ai un point de vue mais mon point de vue n'est pas supérieur à un autre", ça fait trop mal à l'égo?

                  PS : il me semble clair que c'est un contournement de l'idée initiale de RMS et de pas mal de gens quand ils utilisent la GPL, mais ne pas oublier l'histoire avec TiVo par exemple où le "fix" pour empêcher un contournement non souhaité par RMS et de pas mal de gens quand ils utilisent la GPL a montré que tous les utilisateurs de la GPL ne sont pas forcément d'accord avec ces "fix" (d'ailleurs, un certains mainteneur de noyau a des mots très durs sur les restrictions supplémentaires "fix" de la GPLv3), le monde est diversité, pas que "Open Source Security sont des grands méchants qui ne respectent pas les auteurs initiaux" (auteurs à qui on n'a pas demandé leur avis, au passage, pour les "défendre").

                  PPS : je ne voulais pas spécialement répondre à ce post car il ne semblait pas vouloir un débat juste troller ("le monde du libre" avec une seule opinion comme mise dans le journal, c'est trollesque…), mais bon je me suis fait avoir par ma réponse à ce commentaire, zut :), donc maintenant l'auteur du commentaire devrait avoir sa réponse.

                  • [^] # Re: Les quatre libertés des logiciels libres

                    Posté par . Évalué à 4 (+3/-1). Dernière modification le 07/08/17 à 15:04.

                    Pour toi, tu as donc du mal à croire que si j'ai 2 contrats distincts
                    - un qui est GPL, OK
                    - un qui dit que si tu utilises tes droits, on travaillera plus avec toi

                    Je ne pense pas que les contrats soient completement distincts puisque:
                    - l'un fait référence a l'autre
                    - il ne me semble pas possible de souscrire a l'un sans souscrire a l'autre

                    D'ailleurs, pour les mêmes raisons, un acteur "C" qui viendrait faire jouer les intermédiaires, me semble changer peu de choses. Si on ne peut souscrire un contrat sans prendre l'autre, a un moment donne, j'imagine que le droit des contrats les considèrent globalement sur certains aspects sinon c'est trop facile et c'est la porte ouverte a toutes les fenêtres.

                    Bref, avant d'avoir du mal à croire, regardez bien de quoi ça parle, la GPL (et ses restrictions sur les restrictions) semble […] s'appliquer au code que tu reçois (et celui n'a aucune restriction), pas à un autre code

                    On parle bien de conditions qui s'appliquent aux libertés reçues avec le code. Tu ne peux pas les appliquer librement les libertes que tu as achetes avec ton code puisque tu subis une contrepartie. Dans cette histoire, on se fiche totalement qu'il y ait (ou pas) une autre release, des mises a jour ou quoi que ce soit. Le simple fait de stipuler une clause X pour pouvoir appliquer une des libertés de la GPL est a mon sens déjà un problème.

                    On aurait pu imaginer une autre licence: "Mon soft est sous GPL, mais si tu veux le distribuer, tu dois me payer une bière". A mon sens, cette licence est incompatible avec la GPL car tu n'es pas libre d'exercer les libertés recues avec le code.

                    • [^] # Re: Les quatre libertés des logiciels libres

                      Posté par (page perso) . Évalué à 2 (+2/-2). Dernière modification le 07/08/17 à 15:14.

                      On aurait pu imaginer une autre licence: "Mon soft est sous GPL, mais si tu veux le distribuer, tu dois me payer une bière". A mon sens, cette licence est incompatible avec la GPL.

                      Je ne comprend pas ce que tu ne comprends pas dans la différence, en fait ton exemple semble montrer que tu n'as pas compris le point qui fait toute la différence alors que c'est tout le sujet et le cœur des commentaires.
                      Ton exemple ajoute une contrainte sur ce qui a été livré (et personne ne pense que c'est possible avec la GPL), le sujet du journal non. Reformulons :

                      "Mon soft est sous GPL, mais si tu veux le distribuer recevoir la prochaine version, tu dois me payer une bière".

                      Maintenant, en ayant un exemple correct, à toi de voir si c'est légal et/ou légitime, mais avoir en tête ton exemple rend impossible le débat, puisque déjà tu ne comprends pas le sujet.
                      Et c'est bien le soucis : j'ai l'impression que les gens qui hurlent que c'est horrible et impensable que ce soit faisable avec la GPL n'arrivent pas à comprendre la différence entre présent (non touché par une restriction) et futur (le sujet).

                      Rappel : dans l'exemple, tu as tous les droits sur le logiciel GPL que tu as reçu, tu as totalement le droit de le redistribuer, bière payée ou pas, ça ne change rien à tes droits sur le logiciel GPL que tu reçois. Franchement, il y a eu 36 commentaires sur le point qui pose problème, à force on ne peut penser qu'à de la mauvaise foi que de continuer à penser que le problème se situerai sur ce qui a été livré. Peut-on débattre du sujet et pas d'une hypothétique restriction ajoutée à un code reçu? Bref, avant de débattre le mieux est de comprendre le point problématique, pour ne as inventer un problème qui n'existe pas (personne ne dit "Mon soft est sous GPL, mais si tu veux le distribuer, tu dois me payer une bière", car c'est évident que c'est incompatible GPL).

                      PS : je ne dis pas que la personne qui conditionne la version suivant à une bière fait quelque chose de légal, j'essaye juste de trouver un exemple qui corresponde à l'exemple donné. Tout exemple a ses limite, car le paiement d'une bière, un truc à filer en plus, est bien loin de la non redistribution de ce qu'on a reçu.

                      • [^] # Re: Les quatre libertés des logiciels libres

                        Posté par . Évalué à 2 (+1/-1). Dernière modification le 07/08/17 à 15:39.

                        Petite intro: pas besoin de faire des paragraphes entiers sur mes motivations éventuelles ou sur ma mauvaise foi. J'essaie de rester precis et de cibler le souci. Je pense avoir compris le point de vue de Bruce Perens et je me permet de le partager parce que je ne crois pas que beaucoup ait compris ce qu'il voulait dire.

                        Je reprends ta formule, qui est intéressante:

                        "Mon soft est sous GPL, mais si tu veux recevoir la prochaine version, tu dois me payer une bière".

                        Ta formule marche également, c'est juste que tu as redéfini ce qu'est la bière ;-).

                        En fait, plus simplement, le contrat est: "Mon soft est sous GPL, mais tu ne peux pas le distribuer et avoir les mises a jour". Dans ta formulation, la bière est "tu ne peux le distribuer", dans la mienne, c'est "avoir les mises a jour".

                        Il n’empêche, quelque soit la formulation retenue, que tu ne peux pas redistribuer le software que tu as acheté sans devoir concéder une contrepartie.

                        • [^] # Re: Les quatre libertés des logiciels libres

                          Posté par . Évalué à 1 (+4/-6).

                          Sans porter de jugement sur Grsecurity, j'espère bien qu'il n'y a pas, ici, violation de la GPL.

                          Parce que ça ouvre la porte à un peu n'importe quoi.

                          Description de projet Libre:
                          "Nous nous engageons à fournir toutes les versions ultérieures de notre beau projet gratuitement et sur demande, bien entendu en GPL! Love! [insérer petit coeur, suis pas doué pour les trucs comme çà]"

                          "Bonjour, vous êtes en GPL, et vous vous êtes engagés ici?
                          -Oui
                          -Je veux la prochaine version, merci!
                          -Elle n'est pas prête!
                          -Vous avez bien une version de dév en interne? C'est donc bien une mise à jour du logiciel en interne?
                          -Euh, oui, mais…
                          -Alors j'invoque la violation de GPL parce que vous refusez de me la fournir!!
                          -… Mais, elle n'est pas prête!!!
                          -Je m'en fiche. Respectez la GPL!! Livrez-moi la nouvelle version pas finie!"

                          "Hé! Envoie-moi la nouvelle version! Prompto!
                          -C'est pas toi le connard qui a descendu le logiciel un peu partout sans nous faire la moindre remontée à nous?
                          -Ouai, et alors?
                          -Ben va te gratter!
                          -Ha! T'as pas le droit! Envoie le code, sinon tu violes la GPL. Et bouge-toi le cul!"

                      • [^] # Re: Les quatre libertés des logiciels libres

                        Posté par . Évalué à 2 (+1/-1).

                        Je rebondis la dessus

                        personne ne dit "Mon soft est sous GPL, mais si tu veux le distribuer, tu dois me payer une bière", car c'est évident que c'est incompatible GPL

                        Personne a part… Bruce Perens. Je pense être en plein dans le sujet. Je me permet de le citer:

                        By operating under their policy of terminating customer relations upon distribution of their GPL-licensed software, Open Source Security Inc., the owner of Grsecurity, creates an expectation that the customer’s business will be damaged by losing access to support and later versions of the product, if that customer exercises their re-distribution right under the GPL license. Grsecurity’s Stable Patch Access Agreement adds a term to the GPL prohibiting distribution or creating a penalty for distribution. GPL section 6 specifically prohibits any addition of terms.

                        Que l'on considere "payer une biere" ou "perdre ses credentials sur le serveur git", le souci est bien sur le fait qu'il y ait un coût spécifique a la re-distribution du code source livré.

                        En espérant que ca clarifie le débat…

                        • [^] # Re: Les quatre libertés des logiciels libres

                          Posté par . Évalué à 3 (+1/-0).

                          Question rethorique:
                          Et si gresecurity décidait de ne fournir des contrats que version par version.
                          Je veux la version 2.0, je paye la maintenant.
                          Quand la 2.1 sort, je pays la maintenant.
                          Gresecurity a parfaitement le droit de refuser de livrer la 2.1 a client machin (que ce soit parce qu'il a redistribue la 2.0, ou parce qu'il porte des chaussettes vertes, ils decident a qui ils distribuent, point a la ligne).
                          C'est 100% legal, et meme tout a fait dans l'esprit.

                          En quoi c'est different de ce qu'ils font ici?

                          Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                          • [^] # Re: Les quatre libertés des logiciels libres

                            Posté par . Évalué à 2 (+0/-0).

                            La différence c'est que dans ta proposition tu refais payer entre 2 versions, tandis que dans la version de GRSec, si j'ai bien compris, l’idée est d'offrir les mises a jour.

                            Apres il est toujours possible de promettre des rabais commerciaux sur les prochaines versions, mais comme dirait Charles Pasqua, les promesses n'engagent que ceux qui y croient.

                            • [^] # Re: Les quatre libertés des logiciels libres

                              Posté par . Évalué à 3 (+1/-0).

                              Elle est bien maigre ta difference dit moi.

                              Et une souscription au mois, qui se renouvelle automatiquement? Tu redistribues, gresecurity te radie de la liste des clients le mois suivant (ils font ce qu'ils veulent, c'est leur business).
                              Ca tombe dans quelle catégorie? Ok ou pas?

                              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                              • [^] # Re: Les quatre libertés des logiciels libres

                                Posté par . Évalué à 2 (+0/-0). Dernière modification le 07/08/17 à 17:17.

                                Ca pourrait certainement marcher.

                                Apres l’intérêt de le préciser dans le contrat, c'est justement d’éviter ce cote cow boy. Tu parles quand même de dégager des clients parce qu'ils ont utiliser les possibilités pour lesquelles ils ont payes.

                                Ca me semble possible théoriquement, pas trop en pratique.

                          • [^] # Re: Les quatre libertés des logiciels libres

                            Posté par (page perso) . Évalué à 5 (+3/-0). Dernière modification le 07/08/17 à 16:45.

                            La différence est que tu n'achètes pas les patchs, mais un an de souscription, et que le fait de jouir de tes droits révoque la souscription que tu as payée.

            • [^] # Re: Les quatre libertés des logiciels libres

              Posté par . Évalué à 3 (+1/-0).

              je vais peut être dire une connerie

              En effet.

              L'esprit de la GPL, c'est que quand un binaire dont le code est sous GPL, le fournisseur se doit de mettre à disposition gratuitement (enfin, gratuitement… hors frais de transport) le code source correspondant.
              Si le code source change mais que tu n'as pas le binaire, alors tu n'as pas de droits sur le nouveau code source. Point.

              Enfin, c'est un résumé, bien sûr, parce que la GPL, en plus d'être en anglais, est super longue à lire et bien complexe. Trop pour moi, d'ailleurs.

          • [^] # Re: Les quatre libertés des logiciels libres

            Posté par . Évalué à 6 (+5/-1).

            Ça me paraît pas très flou, perso.
            Je vois pas en quoi la gpl peut s’appliquer à du code qui n’est pas encore écrit (les futures versions).
            La gpl n’impose pas de distribuer des mises à jour, et grsecurity décide toujours à qui ils distribuent leurs patchs.

            Linuxfr, le portail francais du logiciel libre et du neo nazisme.

            • [^] # Re: Les quatre libertés des logiciels libres

              Posté par . Évalué à 4 (+2/-1).

              La discussion porte sur le fait que le nouveau contrat impose une nouvelle contre parti sur le code actuelle ou non. Si il y a une nouvelle contrepartie (renoncer à la prochaine mise à jour), alors il y a ajout de contraintes dans la GPL, ce qui n'est pas possible.

              "La première sécurité est la liberté"

          • [^] # Re: Les quatre libertés des logiciels libres

            Posté par (page perso) . Évalué à 8 (+8/-2).

            Mais ils gardent la liberté de t'envoyer balader pour les versions suivantes, qu'ils ne t'ont pas encore donnée, donc sur lesquels tu n'as pour l'instant aucun droit.

            Si je comprends bien, les clients ont payé non seulement pour la version actuelle, mais aussi pour les versions suivantes (au moins jusqu’à la fin de l’abonnement souscrit).

            Donc la GPL ne te donne évidemment aucun droit sur les versions suivantes, mais le contrat avec Grsecurity, lui, te donne le droit de te procurer les versions suivantes (toujours sous les conditions de la GPL). Et c’est ce droit-là que Grsecurity te retire unilatéralement si tu exerces ta liberté de redistribution sur la version actuelle.

            • [^] # Re: Les quatre libertés des logiciels libres

              Posté par (page perso) . Évalué à 7 (+6/-1).

              Sauf que ce contrat commercial n'a rien à voir avec la GPL.

              "Paye-moi 100€ par mois et je te fournis la v2.0 en GPL et quand je l'aurai écrite, la 2.1 dans 6 mois et la 2.2 aussi dans un an à la fin du contrat. Par contre si tu diffuses une de ces versions le présent contrat est terminé". Tu signes, tu fais le premier paiement de 100€, et tu reçois du code v2.0 accompagné de sa licence GPL.

              Bon bah 2 mois après tu diffuses la 2.0, ils terminent le contrat : où est le problème ? Tu as toujours le droit de diffuser la 2.0 en GPL, ils ont pas dit le contraire, mais le contrat commercial qui n'a rien à voir est terminé. Tu n'as jamais reçu aucun code v2.1 en GPL, il n'existe de toute façon même pas encore.

              Le contrat privé entre les deux est peut-être attaquable, j'en sais rien, mais dire qu'ils violent la GPLv2 sur un code qui n'existe même pas, c'est un peu fort de café.

              • [^] # Re: Les quatre libertés des logiciels libres

                Posté par (page perso) . Évalué à -1 (+1/-4).

                Le contrat privé entre les deux est peut-être attaquable, j'en sais rien, mais dire qu'ils violent la GPLv2 sur un code qui n'existe même pas, c'est un peu fort de café.

                Personne ne parle d’un code qui n’existe même pas.

                Si violation de la GPL il y a, c’est celle qui concerne le code du noyau Linux à partir duquel ils ont dérivé leur patch v2.0 (et qu’ils ont vendu ensuite à leurs clients).

                Toute la question est de savoir si la clause dans leur contrat de souscription stipulant que ladite souscription est annulée en cas de redistribution constitue une further restriction on the recipients’ exercise of the rights granted [in the GPL]. Si oui, alors Grsecurity viole la GPL entre les développeurs du noyau et eux-mêmes.

                • [^] # Re: Les quatre libertés des logiciels libres

                  Posté par (page perso) . Évalué à 3 (+3/-2).

                  Personne ne parle d’un code qui n’existe même pas.

                  C'te mauvaise foi… le code qui n'existe pas dont je parle c'est les futures versions même pas encore écrites, évidemment que la version actuelle existe, bravo, un point.

                  Toute la question est de savoir si la clause dans leur contrat de souscription stipulant que ladite souscription est annulée en cas de redistribution constitue une further restriction on the recipients’ exercise of the rights granted [in the GPL]. Si oui, alors Grsecurity viole la GPL entre les développeurs du noyau et eux-mêmes.

                  Dans la mesure où ils ne rajoutent pas de restrictions à la livraison de leur patch (si on paye, on le reçoit en GPL et on peut le redistribuer en GPL) mais simplement "faites comme vous voulez mais si vous êtes pas un bon partenaire commercial on fera plus de business à l'avenir", je suis assez perplexe devant l'argument ils m'en empêchent M. le juge ! la preuve euh bah je peux le faire en fait.

                  • [^] # Re: Les quatre libertés des logiciels libres

                    Posté par . Évalué à 3 (+2/-0).

                    Dans ce cas, ce n'est pas la GPL qui n'est pas respectée mais c'est un refus de vente (pour peu que ça existe dans la loi qui régie le litige).

                  • [^] # Re: Les quatre libertés des logiciels libres

                    Posté par (page perso) . Évalué à 5 (+4/-1). Dernière modification le 06/08/17 à 23:37.

                    mais si vous êtes pas un bon partenaire commercial on fera plus de business à l'avenir

                    Ce n’est pas seulement « on ne fera plus de business à l’avenir », c’est aussi et avant tout « nous révoquons unilatéralement votre accès aux mises à jour de notre produit pour lequel vous avez souscrit un abonnement — et peut-être qu’on vous remboursera les mois de souscription perdus, peut-être pas, ce sera à notre convenance. » (the Company will at its own discretion refund payment for any remaining pre-paid period.)

                    • [^] # Re: Les quatre libertés des logiciels libres

                      Posté par (page perso) . Évalué à 5 (+4/-1).

                      Le tout sans avoir enfrain de loi.
                      D'autant plus que cette menace (car s'en est une) prouve qu'il est clairement légal de distribuer les sources.

                      Exemples/analogies :
                      - Netflix bloque ton abonnement si tu n'es pas la seule personne à regarder les vidéos --> tu as le droit de regarder à plusieurs tant que ça reste à titre privé, mais Netflix décide que ça ne l'arrange pas
                      - Microsoft stoppe les mises à jour de ton système si tu installes une suite bureautique concurrente --> tu as le droit d'installer ce que tu veux, mais Microsoft décide que ça ne l'arrange pas

                      Le pépin vient du fait que l'éditeur combat quelque chose qui est explicitement autorisé et qu'il bluffe en en utilisant une imprécision de la loi. Tant que ça n'a pas été jugé, c'est un contournement.
                      C'est juste une boîte foireuse parmi beaucoup d'autres. Les clients font ce qu'ils veulent, c'est leur affaire. Pour le reste on perd quoi ? Des patch foireux ? Ok, next.

              • [^] # Re: Les quatre libertés des logiciels libres

                Posté par . Évalué à 3 (+4/-3).

                Le contrat privé entre les deux est peut-être attaquable, j'en sais rien, mais dire qu'ils violent la GPLv2 sur un code qui n'existe même pas, c'est un peu fort de café.

                On se fiche de savoir que le code existe ou pas. Il y a une contrepartie à user des libertés que tu as achetées avec ta version. Le problème n'est pas de savoir si tu trouves qu'elles sont acceptables ou non, hypothétique ou non.

                La simple existence de ces clauses visant a limiter ton usage des libertés sur un soft que tu as achetées est le cœur du sujet, et il me semble assez clair que la GPL a couvert précisément ce cas.

          • [^] # Re: Les quatre libertés des logiciels libres

            Posté par . Évalué à -1 (+0/-2).

            sauf que c'est tu achetes pas un logiciel la mais un abonnement qui te donne droit a ce logiciel plus ses mises a jour

        • [^] # Re: Les quatre libertés des logiciels libres

          Posté par . Évalué à 5 (+3/-0).

          Mais pour moi l'open source est bien plus qu'une licence, c'est également un modèle de développement, une certaine transparence et Open Source Security, Inc sont à des années lumière de cet état d'esprit.

          Hé bé… je n'ose imaginer ce que tu penses des gens qui utilisent du code BSD-2 dans dans un soft proprio sans diffuser les sources…

          La GPL contraint ses utilisateurs à diffuser le code des binaires, mais ce n'est pas la règle dans les licences libres.
          Et ici, la seule chose qui compte, c'est le contrat, la licence, pas les interprétations de gens non légistes.
          Ici, c'est juste la pérennité du contrat qui est conditionnée à la rediffusion des patchs, pas les libertés fournies avec la GPL.

      • [^] # Re: Les quatre libertés des logiciels libres

        Posté par . Évalué à 4 (+4/-1). Dernière modification le 08/08/17 à 08:58.

        « Tu es libre de faire ce que tu veux, mais si tu le fais, je peux appuyer sur la gâchette de ce pistolet que je tiens appuyé sur ta tempe dans le futur. Mais je te le répète : dans le présent tu es libre, hein… »

    • [^] # Re: Les quatre libertés des logiciels libres

      Posté par . Évalué à 1 (+1/-0).

      Je trouve les méthodes de l'Open Source Security Inc puantes mais le non respect n'en est pas pour autant évident.

      Quand j'achète un téléphone, si je le démonte complètement, je perds la garanti. Mais ce n'est pas pour autant que je ne suis pas libre de le démonter.

      • [^] # Re: Les quatre libertés des logiciels libres

        Posté par (page perso) . Évalué à 7 (+5/-0).

        Quand j'achète un téléphone, si je le démonte complètement, je perds la garanti. Mais ce n'est pas pour autant que je ne suis pas libre de le démonter.

        Sauf qu’ici, le vendeur du téléphone (et de la garantie associée) a lui-même obtenu le téléphone (et le droit de te le revendre) en vertu d’un contrat qui lui interdit d’interdire son client de le démonter…

        Toute la question est de savoir si associer la garantie à une condition de non-démontage (« j’ai pas le droit de vous interdire de démonter le téléphone, mais si vous le faites, je fais sauter la garantie ») est une violation de ce contrat. Ça semble être évidemment le cas pour certains, et tout aussi évidemment pas le cas pour d’autres — donc ce n’est probablement pas évident du tout.

        (Et c’est une question qui ne sera vraisemblablement pas tranchée par l’affaire Grsecurity contre Bruce Perens, parce que la question essentielle dans ce litige est plutôt « Bruce Perens a-t-il tenu des propos diffamatoires ? » — la question de l’éventuelle violation de la GPL sera au mieux abordée de manière périphérique, voire pas abordée du tout à mon avis.)

  • # Et ils le savent comment ?

    Posté par (page perso) . Évalué à 8 (+6/-0).

    Et ils le savent comment que c'est tel client qui a fait fuité le dernier patch ?
    Chaque client a un patch légèrement différent ? Par exemple avec des commentaires différents, ou des séquences d'espaces/tabulations, des noms de fichiers, etc.

  • # Binaires

    Posté par (page perso) . Évalué à 6 (+3/-0).

    Je ne sais pas non plus analyser comment cette politique d'Open Source Security Inc. se compare avec la politique de Red Hat. Est-ce que c'est exactement pareil ou bien est-ce qu'il y a des détails cruciaux qui divergent ?

    Il me semblait qu'avec RedHat, c'était les binaires qui ne pouvaient pas être diffusés, mais les sources oui, d'ailleurs ils le font eux même.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Combien ?

    Posté par . Évalué à 6 (+4/-1).

    C'est une astuce juridique qui est utilisé pour cela : les clients doivent signer un agrément qui stipule que s'ils redistribuent le patch à des non clients (comme l'autorise la GPL) alors ils n'auront plus aucun accès aux futures versions.

    Visiblement le prix est à la tête du client : "tailored specifically to your organization's needs" et je suis infoutu de donner même un ordre de grandeur…

    Si le prix n’est pas trop excessif, et que ces patches sont une véritable valeur ajoutée, il suffirait, à chaque version de grsecurity, d’acheter le bousin, de le diffuser librement, et tant pis pour la prochaine version, les libristes intéressés se cotiseront pour acheter cette prochaine version et ainsi de suite ?

    J’ai du mal à saisir leur business model, j’ai l’impression qu’ils se tirent une balle dans le pied là, ça va finir en fork hostile, sauf si comme le dit Linus c’est de toute façon de la grosse merde :)

    Quand on prétend être une : "team of world-class experts in Linux security" c’est à priori de l’expertise et de la prestation intellectuelle, pas juste l’accès au logiciel, qu’on vend… Ça laisse l’impression qu’ils ont peur qu’une autre équipe exploite mieux qu’eux leur propre produit :)

    • [^] # Re: Combien ?

      Posté par (page perso) . Évalué à 10 (+9/-0). Dernière modification le 05/08/17 à 18:10.

      je suis infoutu de donner même un ordre de grandeur

      Sous l'article LWN consacré à cette affaire, un user a posté un commentaire intéressant au sujet des revenus d'Open Source Security Inc.

      La société a un seul employé (sans doute Brad lui-même) et apparemment le revenu annuel est de 140 000 dollars.
      Cela ne nous dit pas quels sont les tarifs pratiqués pour chaque client mais cela donne un ordre de grandeur de l'argent brassé en un an par la société. Après il faudrait savoir de quand date cette info, est-ce qu'elle est fiable, etc etc.

      Quand on prétend être une : "team of world-class experts in Linux security"

      Je crois que personne ne nie ce point. Brad et PaXteam sont réellement des cadors de la sécurité. Dans leur patch noyau ils ont développé des techniques nouvelles qui sont en avance sur les autres. Ils sont vraiment reconnus dans le domaine. La preuve c'est que la Linux Foundation finance des devs pour essayer de porter certains trucs issus de Grsecurity dans le noyau vanilla.

      c’est à priori de l’expertise et de la prestation intellectuelle, pas juste l’accès au logiciel, qu’on vend

      Amha c'est là qu'est le point bloquant. Pour vendre de l'expertise et du conseil il faut interagir avec d'autres humains. Mais Brad et (dans une moindre mesure) PaXteam n'ont jamais fait preuve de la moindre capacité à travailler avec d'autres personnes.

      • [^] # Re: Combien ?

        Posté par . Évalué à 4 (+1/-0).

        Après il faudrait savoir de quand date cette info, est-ce qu'elle est fiable, etc etc.

        Oui. Savoir si c’est 1, 10, 100 ou 1000 clients…

        Quand on prétend être une : "team of world-class experts in Linux security"

        Je crois que personne ne nie ce point.

        Moi non plus mais ma formulation pouvait laisser penser le contraire je le reconnais, merci pour ta correction.

      • [^] # Re: Combien ?

        Posté par . Évalué à -6 (+1/-9).

        La société a un seul employé (sans doute Brad lui-même) et apparemment le revenu annuel est de 140 000 dollars.

        C'est incroyable tout cet acharnement pour un gars qui bosse tout seul dans son coin avec un revenu dérisoire. C'est le délire j'espère qu'il va gagner le procès et qu'il ne se stresse pas trop avec cette affaire.

        Et il y en a qui font la comparaison avec Redhat. Pf, n'importe quoi.

        • [^] # Re: Combien ?

          Posté par . Évalué à 6 (+13/-2).

          Il me semble sain d'essayer de comprendre tout le contexte pour mieux cerner les justifications et la portée du bidouillage juridique associé à la GPL, opéré par les auteurs de Grsecurity.

          En tant qu'utilisateur de logiciels libres (et sans mesurer les contraintes de leur modèle économique), je n'espère pas qu'il va gagner son procès au titre que je n'apprécierais pas que ce bidouillage juridique se généralise.

        • [^] # Re: Combien ?

          Posté par (page perso) . Évalué à 8 (+6/-0).

          C'est incroyable tout cet acharnement pour un gars qui bosse tout seul dans son coin avec un revenu dérisoire.

          Le respect des licences libres (ou pas) ne dépend pas de la taille des revenus ("Ok c'est bon vous êtes une petite boite, vous pouvez violer la GPL c'est pas grave").

          Et il y en a qui font la comparaison avec Redhat. Pf, n'importe quoi.

          Tout à fait cette comparaison c'est n'importe quoi. RedHat ne base pas son business model sur le fait de dire que Linux c'est du caca, et qu'il faut absolument utiliser son code (mais qu'on s'efforce à ne surtout pas voir rentrer officiellement dans Linux). Non, Redhat fait plein de code libre upstream qui finit par être utilisé par tout le monde (genre gcc).

        • [^] # Re: Combien ?

          Posté par (page perso) . Évalué à -2 (+2/-6).

          avec un revenu dérisoire

          Alors, juste pour remettre un peu de perspective, un salaire dérisoire c’est 15 000€, pas 140 000.

          • [^] # Re: Combien ?

            Posté par (page perso) . Évalué à 8 (+9/-3). Dernière modification le 06/08/17 à 19:57.

            Alors, juste pour remettre un peu de perspective, un salaire dérisoire c’est 15 000€, pas 140 000.

            Juste pour remettre en perspective, tes 15 000 € c'est moins que le SMIC en France (autour de 19 000 €/an), et à ce niveau d'expertise 140 000 $ (et non €) est clairement dérisoire par rapport à ce qu'il pourrait avoir chez un employeur US (il pourrait avoir facilement le double), et encore c'est en imaginant que tout ce qui arrive dans un chiffre d’affaire est transformé en rémunération (ce qui est faux, il y a des frais de gestion d'entreprise, des paiement de matos, d'externes…).

            Le dérisoire est évidement à mettre en face des compétences et capacité à avoir plus si on le souhaite, sinon on va dire qu'une personne au RSA est riche si on le met en perspective par rapport à des personnes d'autre pays (et on va s'attirer une tonne de monde disant que non, alors que ça revient au même que ce que ton commentaire).

            Bon, maintenant, si ton objectif était juste de troller et plaire à la masse en faisant du populisme, effectivement tu as raison (du monde va aimer que tu penses à leurs sous à eux, en net et non en brut chargé, avec leur non compétence et non une expertise), sinon tu ne sais juste rien des niveau de la rémunération pour des gens ayant de telles compétences et t'avance beaucoup sans connaitre (et comparer à moins que le SMIC pour de telles compétences est ridicule).

            • [^] # Re: Combien ?

              Posté par . Évalué à -4 (+1/-6).

              En même temps, ya pas une seule perspective.

              Oui, pour un type pointu, spécialisé et rare dans son domaine, 140000 euros (brut) c'est probablement (certainement) peu en comparaison de ce qui peut se faire habituellement et à son niveau[1].

              Mais oui, pour le commun de mortels, c'est beaucoup. Tout dépend de où on se place et de quoi on veut parler, d'où la différence de perspective.

              Perso, avec un RSA je suis capable de mettre de l'argent de côté. Alors quand j'arrive comme maintenant à me faire des années à 12000 euros, je me sens riche.

              Vous voulez juste mettre en perspective des choses différentes. C'est tout.

              --

              [1] Je n'en sais rien, et au fond je m'en pas mal : mon âme de stalinien me donne envie de limiter tous les salaires à 30000 nets euros annuels (ce qui est déjà 50% de plus que le revenu médian en France) : au delà je ne vois pas quoi faire de tout ce pognon (et même en dessous pour être honnête, mébon), à part de la consommation de luxe ou ostentatoire.

              • [^] # Re: Combien ?

                Posté par . Évalué à 10 (+10/-0).

                mon âme de stalinien me donne envie de limiter tous les salaires à 30000 nets euros annuels (ce qui est déjà 50% de plus que le revenu médian en France) : au delà je ne vois pas quoi faire de tout ce pognon (et même en dessous pour être honnête, mébon), à part de la consommation de luxe ou ostentatoire.

                C'est une vision extrémiste : que des gens gagnent plus que d'autres (parce qu'ils en font plus, parce qu'ils exploitent leurs talents) ne me gène pas, tant qu'à côté de ça tout le monde peut vivre décemment. Le problème ce n'est pas que certains aient plus, c'est surtout que des personnes à côtés doivent trimer comme des malades pour pas un rond, et ne peuvent vivre décemment de leur travail. Pour moi c'est surtout ça le problème.

          • [^] # Re: Combien ?

            Posté par (page perso) . Évalué à 10 (+8/-0).

            • juste pour remettre un peu de perspective, on parle du CA de la boite : que sais-tu du revenu final (mécaniquement inférieur à ce CA parce qu'on parle d'une petite boite pas une multinationale qui va pouvoir faire divers artifices comptables) qu'il se verse ?
            • juste pour remettre un peu de perspective, on parle des US : totalement incomparable niveau fiscalité, cotisations… pour le même niveau de vie, surtout les mois où tu tombes malade, il suffit pas de convertir les euros en dollars…
            • juste pour remettre un peu de perspective, même en considérant qu'il se verse 100% de son CA et en appliquant quelques conversions approximatives ("salaire US => superbrut FR", "brut FR = (superbrut FR / 2) pour les hauts revenus" et "1€ = 1$") ça fait quoi, 70k€ annuels bruts ? pour grosso modo le seul mec au monde qui maitrise GRsec ? On est d'accord qu'il est pas à la rue mais c'est un peu dérisoire quand même…
            • [^] # Re: Combien ?

              Posté par . Évalué à 1 (+2/-3).

              C'est un choix de sa part aussi. Les experts securite ils peuvent gagner beaucoup d'argent mais bon il faut savoir travailler avec les autres souvent ce qui n'est clairement pas la force de l'auteur de GRsec.

              D'ailleurs je le trouve bien debile, si le kernel etait parfait de son point de vue, il ne pourrait pas vendre son code donc au lieu d'insulter les devs du kernel il devrait leur dire merci.

  • # A quoi sert vraiment cette clause ?

    Posté par (page perso) . Évalué à 2 (+2/-1).

    ( oui j'ai lu tous les commentaires précédents … )

    Quel est le but de la clause si ce n'est de s'arranger pour que les clients ne redistribuent pas les mises à jours ?

    Si le modèle économique est le fait que plusieurs clients paient pour obtenir une version plus récente, alors il n'y a pas besoin de clause; une fois le paiement effectué le projet commence et une fois réalisé il est mis à disposition des clients qui décident comment ils appliquent la GPL. Seuls les client qui ont payé ont accès à cette version, il n'y a rien de choquant.
    Ici le problème semble être de faire payer les autres clients après que travail ait été fournis au premier client.
    C'est ici à mon avis que l'esprit de la GPL n'est pas respecté, la clause additionnelle ajoute une contrainte forçant les clients qui ont payé à ne pas pouvoir exprimer tous leurs droits sans avoir à payer un coût additionnel : ie trouver une autre source pour les futures mises à jours.

    Il peut très bien y avoir un contrat AVANT la mise à disposition de l'application au client, mais dés qu'il est fourni la GPL s'applique intégralement, le fait d'utiliser sont libre droit ne doit pas avoir de conséquences future quelconques.

    Certes l'esprit de la GPL n'est pas forcément le contenu in-extenso tel qu'un avocat pourra le lire, mais la phrase qui interdit d'ajouter des restrictions supplémentaires est effectivement là pour que la liberté de la GPL ne soit pas réduite.

    Lier une partie des liberté de la GPL à quoi que ce soit d'autre même si cela parait bénin est pour moi une restriction supplémentaire.
    Par exemple ajouter le fait que le programme ne puisse être utilisé que pour faire le bien est une clause restrictive des libertés accordées par le GPL.
    Ajouter le fait que de distribuer ce logiciel fera que je ne répondrais plus aux commentaires aussi une clause abusive. Le fait que je réponde plus à vos commentaires ne doit pas être une clause quelconque, ceci-dit rien ne m'empêche de ne plus répondre, mais je veux bien croire que cette menace ne peut pas faire partie d'un contrat…

    Je pense sérieusement que Bruce Perens a raison et qu'il serait judicieux pour Open Source Security Inc de retirer simplement sa clause.
    D'un autre côté c'est aux clients d'Open Source Security Inc de faire valoir leur droit car se sont eux qui subissent la clause, s'ils sont d'accord pour la respecter tacitement , je ne vois pas l'intérêt alors de l'imposer…
    Si un client ne respecte pas la clause, comment pourra t'on déterminer d'où vient la fuite ?
    Comment appliquer la clause dans ce cas par exemple si le code est posté sur GitLab par une personne qui n'est pas un client ?

    Bon, maintenant j'attends qu'ils m'attaquent aussi en diffamation…

    • [^] # Re: A quoi sert vraiment cette clause ?

      Posté par (page perso) . Évalué à 9 (+6/-0).

      D'un autre côté c'est aux clients d'Open Source Security Inc de faire valoir leur droit car se sont eux qui subissent la clause

      Non à mon avis ce ne sont pas seulement les clients qui peuvent faire valoir leurs droits.
      Supposons que Bruce Perens ait raison. Alors cela signifie qu'un développeur ayant participé au noyau Linux peut légitimement attaquer Open Source Security Inc. En effet en travaillant sur le noyau il a produit du code sous GPLv2. Ici on a une entreprise qui reprend son code (puisqu'elle reprend le noyau) et y ajoute une restriction violant la GPLv2. Son copyright n'a donc pas été respecté et il est en droit d'attaquer.

      • [^] # Re: A quoi sert vraiment cette clause ?

        Posté par (page perso) . Évalué à 0 (+0/-1).

        Effectivement c'est juste de me reprendre. Et cela doit être aussi la raison de cette attaque devant les tribunaux.

        Je partage intégralement le contenu initial du journal que je trouve complet et t'en remercie.

        Depuis mon commentaire j'ai relu de nombreux commentaires postés sur The Register, vers la fin des arguments plus pointus et certains en faveur d'Open Source Security Inc sont avancés. J'avoue être un peu dépassé.

        La clause semble un peu plus complexe que je n'avais initialement compris et elle touche à des des données ( patches, changelogs, discussion de design … ) qui ne sont pas juste le code source. Si la clause interdit la distribution d'informations qui par ailleurs ne sont pas couvertes par la GPL; par exemple comme pourrait l'être un livre détaillant le fonctionnement du noyau linux; alors elle n'est pas illégale.

        Mon impression est que cette clause est elle même une sorte de menace écrite de manière à dissuader les clients d'utiliser la GPL mais en pratique ne l'interdit pas; elle est en tout cas assez complexe pour laisser de nombreuses personnes s'étriper sur son interprétation.

        Bref tout aurait plus simple si Open Source Security Inc avait répondu par un communiqué plutôt qu'en attaquant Bruce Perens devant les tribunaux. Et ci cela se trouve la question de la légalité de la clause ne sera même pas abordée s'il est determiné que Bruce Perens a juste exprimé une opinion non diffamatoire.

        • [^] # Re: A quoi sert vraiment cette clause ?

          Posté par (page perso) . Évalué à -1 (+1/-4).

          Bref tout aurait plus simple si Open Source Security Inc avait répondu par un communiqué plutôt qu'en attaquant Bruce Perens devant les tribunaux.

          Bref tout aurait plus simple si Bruce Perens avait réellement émit une opinion et non une affirmation en pratique, mais bizarrement la simplicité est pour toi que dans le sens qui te convient…
          Par ce que si on regarde l'ensemble, on peut aussi voir que tu sous-entends que c'est la victime (ici, victime de la désinformation) qui est coupable de se défendre (ben oui, être victime n'est pas que quand ce qui arrive est contre une personne qui nous plait).

          Bref, surtout beaucoup d'opinion transformées en faits, et pas de prise en compte de l'autre point de vue comme potentiellement la bonne analyse, "oubli" qu'il y a une attaque à la base sur un blog avec des affirmations et que le procès n'est qu'une réponse à acte donné, pas qui vient de nul part.

          • [^] # Re: A quoi sert vraiment cette clause ?

            Posté par . Évalué à 3 (+2/-1).

            si Bruce Perens avait réellement émit une opinion et non une affirmation en pratique

            Ça reste à prouver et c'est justement le sujet de ce procès. Tu es toi-même dans la diffamation là.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.