L’ANSSI (Agence nationale de la sécurité des systèmes d’information) vient de publier une mise à jour substantielle de sa doctrine vis-à-vis du logiciel libre. L’agence confirme que le logiciel libre et la transparence sont essentiels à la sécurité des systèmes d’information. Elle assume sa contribution au libre et la publication de logiciels sous licence libre.
Cette posture très favorable au logiciel libre et open source est une belle avancée et un signal fort. Jusque-là, la posture de l’ANSSI était beaucoup plus floue et sa contribution à des projets libres et open source pouvait même apparaitre en contradiction avec sa doctrine. J’avais l’impression que les collaborateurs de l’ANSSI qui le faisaient reprenaient à leur compte le dicton « Pour vivre heureux, vivons cachés ».
La politique de l’agence est désormais claire : l’ANSSI contribue, l’ANSSI publie, l’ANSSI a une stratégie pragmatique qui peut l’amener à s’engager ou non sur le long terme en fonction de la finalité de l’outil et des motivations de l’ANSSI.
Détail qui a son importance, l’ANSSI indique privilégier, sauf exception justifiée, la licence Apache v2.0 pour les projets qu’elle publie. Je suis ravi de voir ce service privilégier une licence mondialement connue à une licence franco-française ou européenne (elles ont le don de doucher nombre de velléités d’utilisation et de contribution).
# Exemple : KeepassXC
Posté par cg . Évalué à 10 (+9/-0).
Super !
KeepassXC fait partie des rares logiciels libres qui peuvent se targuer d'avoir obtenu un visa de l'ANSSI : KeePassXC 2.7.11 released.
Vivement que cette liste s'allonge !
[^] # Re: Exemple : KeepassXC
Posté par Sébastien Dinot (site web personnel) . Évalué à 6 (+5/-0).
C'est de l'ordre du détail et il faut bien évidemment mettre à jour les applications, surtout lorsque ces mises à jour corrigent des failles de sécurité, mais la version de KeePassXC certifiée par l'ANSSI est la 2.7.9.
Cette certification est importante. Elle renforce la pertinence de l'utilisation de KeePassXC dans le cadre professionnel. À mon niveau, elle légitime la promotion de cet outil (et de son greffon KeePassXC-Browser, disponible pour Firefox, Chrome et Edge) que je fais depuis des années auprès de mes collègues.
[^] # Re: Exemple : KeepassXC
Posté par samantha64 . Évalué à -3 (+1/-4).
Ouais faut quand même être au courant qu'ils ont autoriser l'ajout de code générer par IA dans keypassXC.
Ça renforce pour ceux qui veulent faire confiance a une autorité ou qui veulent faire appelle a une autorité pour ajouter une couche de confiance a leur propos.
Perso l'ANSSI (tout comme la cnil) a pour moi aucune validité technique.
La dissonance cognitive qui règne en est une preuve (comme dab dans la sécurité informatique).
Par contre dans la bureaucratie/l'administration Française ils n'ont plus a se plaindre, maintenant qu'il y a un outil libre/GPL qui passe leur certif.
Je déconseille.
C'est pratique, mais ce pont augmente grandement la surface d'attaque au prix d'un simple copier coller.
Oui je sais les utilisateur vont chouiner mais faut arrêter de baisser le niveau d'entrer et faire plus de pédagogie a la place, sinon peut importe le niveau de sécurité ça servira a rien, la preuve, c'est sous ce prétexte que la 2FA a était déployer partout, alors que c'est pas nécessaire.
En parlent de 2FA puisque c'est devenue ""nécessaire"", une 2FA avec une nitro key (ou un fichier clef sur disque optique/usb) et vous avez plus de soucis concernant la masturbation des authentifications dite forte.
Ça me tue la 2FA, mes mots de passe font 128 cara/max autoriser, mais c'est pas assé fort.
Si la CNIL/ANSSI c'était bouger auprès des distributeurs de malware que sont le apple/play/ms store et la légalisation du vol de données tout ce fatra ne serait pas.
Autant juste dire Chrome.
Par ailleurs les service de l'état qui utilisent encore chrome devrait être flageller.
# Souveraineté : peut mieux faire
Posté par devnewton 🍺 (site web personnel) . Évalué à 10 (+8/-0).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Souveraineté : peut mieux faire
Posté par Sébastien Dinot (site web personnel) . Évalué à 1 (+0/-0). Dernière modification le 17 février 2026 à 21:00.
Ce choix relève certainement de l'automatisme et d'une croyance courante (GitHub assurerait une meilleure visibilité aux projets et faciliterait les contributions), mais il est vrai qu'à l'heure actuelle, j'aurais préféré lire que l'ANSSI privilégie la plateforme Codeberg.
Je parle de croyance concernant GitHub, car j'ai pu constater que dans les projets libres dans lesquels je suis ou j'ai été impliqué, le principal frein à la contribution n'était pas la création d'un compte sur une plateforme spécifique, mais :
1. La difficulté métier (disposer de compétences avancées dans le domaine adressé).
2. La difficulté technique (maitrise d'un langage exigeant tel que le C++ ou « exotique » tel que l'OCaml).
En outre, un site vitrine conçu de manière à être bien référencé et un nom de projet discriminant, ainsi qu'un peu de communication sur les médias adéquats, assurent une bien meilleure visibilité qu'un dépôt sur GitHub.
[^] # Re: Souveraineté : peut mieux faire
Posté par devnewton 🍺 (site web personnel) . Évalué à 3 (+0/-0). Dernière modification le 16 février 2026 à 11:55.
3・ chez moi, ça marche pas
J'ai le souci le moment avec un contributeur pour Super Marian and Robin qui n'arrive pas à construire le jeu depuis un poste Windows.
Et comme je n'ai plus de Windows nulle part, même pas au boulot, je ne peux pas l'aider :-(
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Souveraineté : peut mieux faire
Posté par samantha64 . Évalué à -1 (+0/-1).
Microsoft Github, nuance.
Quand je dis qu'il y a dissonance cognitive.
Il ont juste a héberger eux même leur code amha.
Il y a Codeberg, Gitea, gitlab (lourdingue) et GNU Savannah (rip gna!) et autres.
Si ils veulent jouer la carte de la visibilité, il ont juste a utiliser MS github comme secondaire faire des pull et a rediriger les messages via/sur leur git officiel .
# HAProxy
Posté par Bruce Le Nain (site web personnel) . Évalué à 6 (+4/-0). Dernière modification le 15 février 2026 à 10:47.
Je ne sais pas si c’est en relation, mais l’ANSSI vient de faire auditer HAProxy, qui s’en sort très bien
https://www.it-connect.fr/audit-securite-haproxy-demande-anssi-2026/
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.