Une loi sur la sécurité des logiciels

Posté par  (site web personnel) . Modéré par Yann Hirou.
Étiquettes :
0
18
jan.
2002
Justice
Un groupe influent de chercheurs Américains demande à son gouvernement une loi visant à punir les éditeurs de logiciels insuffisament sûr. Cette demande provient d'un rapport remis par le NAS (National Academy of Science américaine) et commandé juste après les attentats du 11 septembre pour connaitre l'état des systèmes informatiques américains.
Visé en premier lieu par cette loi, Microsoft qui n'a pas cessé de fournir patch sur patch pour son pourtant si sécurisé winXP.

Aller plus loin

  • # Et les logiciels libres ?

    Posté par  . Évalué à 10.

    Face à ce projet, je me pose juste la question : un développeur du libre pourra donc être poursuivi pour des failles de sécurité dans son programme ?

    Plus qu'une loi, il faudrait simplement éduquer le consommateur pour qu'il regarde ce qu'il achète... s'il veut acheter des trous de sécu, c'est son problème - il peut ensuite faire un procès à l'éditeur, mais je ne vois pas en quoi le gouvernement peut édicter une loi. S'il est client de Microsoft, il peut lui faire un procès.

    • [^] # Re: Et les logiciels libres ?

      Posté par  . Évalué à 10.

      "THE PROGRAM (is provided) "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION."



      Je me méfierais d'une loi sur un tel sujet, on effet, le disclaimer GNU cité ci-dessus pourrais (attention, ceci est un conditionnel, je n'ai audune idée de ce que pourrais contenir une telle loi) également être interprété comme preuve que l'on ne fait pas suffisament pour la sécurité du système, et donc cela rendrais tous les logiciels GNU incompatible avec une telle loi.

    • [^] # Re: Et les logiciels libres ?

      Posté par  (site web personnel) . Évalué à 10.

      Il me semble qu'en France, un fournisseur est responsable du bon fonctionnement de son produit en fonction de la destination de celui-ci (obligation de résultat dans le contrat). Donc, si un produit est sensé être sécurisé (qu'il incorpore un mécanisme de sécurité), on doit pouvoir se retourner contre l'éditeur du logiciel en cas de faille.

      Si il y a un avocat dans la salle, ce serait bien qu'il se prononce.

      • [^] # Re: Et les logiciels libres ?

        Posté par  . Évalué à 3.

        Si c'était le cas, je pense que plusieurs personnes (ou groupes de personnes) auraient déjà tenté ! Ceci dit, si ce que tu dis est vrai, cela voudrait dire que cette loi existe déjà en France ? J'ai tout de même du mal à y croire...

        • [^] # Re: Et les logiciels libres ?

          Posté par  . Évalué à 8.

          Le problème, c'est d'être "assez" sécurisé ou pas. C'est quelque chose de complètement subjectif. De plus, si on pénètre un OS que tu as développé, c'est une activité malhonnête et même criminelle, dont tu ne peux pas être tenu responsable...

          C'est comme la disponibilité: microsoft peut dire que "windows est stable", car ça ne veut rien dire. Par contre dire que ton système a 98% de disponibilité, là oui, car c'est quantifié.

          • [^] # Re: Et les logiciels libres ?

            Posté par  (site web personnel) . Évalué à 3.

            De plus, si on pénètre un OS que tu as développé, c'est une activité malhonnête et même criminelle, dont tu ne peux pas être tenu responsable...



            Mais on peut peut etre t'accuser de ne pas avoir mis en oeuvre tous les moyens pour empêcher cet infraction.

        • [^] # Re: Et les logiciels libres ?

          Posté par  (site web personnel) . Évalué à 9.

          L'application en Europe d'une directive du 25 juillet 1985 instaure une protection du consommateur contre les logiciels défectueux. Ce texte a été complété par la directive du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs. L'interprétation française donnée en août 1998 par le garde des Sceaux indique que «la responsabilité du fait des produits défectueux a vocation à englober la catégorie juridique des meubles à laquelle appartiennent les logiciels ». Les logiciels seraient donc bien, selon le droit de la consommation, des produits.



          Il est donc possible de poursuivre un éditeur dont le logiciel serait défectueux et d'obtenir des dommages de la part de celui-ci. Ces directives ne s'appliquent qu'à la vente de produit à des particuliers ou à des professionnels non informaticiens. On considère par exemple que le directeur informatique d'une banque est un professionnel de l'informatique et que lorsqu'il achète la licence d'utilisation d'un logiciel sans garantie de fonctionnement, il sait ce qu'il fait et ne pourra donc pas poursuivre l'éditeur. Au contraire, une PME qui achète un logiciel de comptabilité est considérée comme un consommateur et bénéficie donc de la protection accordée par les directives.



          Extrait de : http://www.freepatents.org/liberty/droit.html(...(...))

          • [^] # Re: Et les logiciels libres ?

            Posté par  . Évalué à 3.

            Ces directives ne s'appliquent qu'à la vente de produit à des particuliers ou à des professionnels non informaticiens



            Donc, s'il n'y a pas vente (ce qui est généralement le cas pour un logiciel libre [pitié, pas de troll libre<>gratuit]), on ne peut pas se retourner contre l'auteur, non ?

            • [^] # Re: Et les logiciels libres ?

              Posté par  (site web personnel) . Évalué à 5.

              On va chipoter, mais la vente n'inclue pas forcément une rémunération.



              vente : Convention par laquelle une personne dite "le vendeur" cède ses droits de propriété sur une chose ou une valeur lui appartenant à une autre personne dite "l'acheteur" .

              • [^] # Re: Et les logiciels libres ?

                Posté par  . Évalué à 1.

                Sauf que dans le cas d'un logiciel, le vendeur ne cède pas ses droits de propriété : il vend juste le droit d'utilisation (et parfois faut renouveler) c'est completement différent. A la limite on pourrait dire que dans le cas d'un logiciel "boite", on peut effectivement vendre le CD et la doc (hum), mais dans le cas d'un téléchargement on ne peut pas dire que le vendeur cède ses droits de propriétés a quelqu'un d'autre.

          • [^] # Re: Et les logiciels libres ?

            Posté par  . Évalué à 3.

            C'est un autre débat, mais :

            L'interprétation française donnée en août 1998 par le garde des Sceaux indique que «la responsabilité du fait des produits défectueux a vocation à englober la catégorie juridique des meubles à laquelle appartiennent les logiciels ». Les logiciels seraient donc bien, selon le droit de la consommation, des produits.



            Aheum... un bien, un meuble, une machine à laver... etc. utilisent paut-être des procédés brevetables.

            La distinction avec les logiciels, qui sont censés relever du droit d'auteur.



            On est face à une contradiction

            1/ le logiciel est une oeuvre

            As-t-on vu une oeuvre écrite être protégé contre un vice de fabrication ?

            2/ Le logiciel est un meuble

            Il est donc brevetable, enfin.. les processus qu'il utilise.



            Aïe.



            Dans la mesure où c'est une directeive, est-ce assimilable à une jurisprudence ie. est-ce utilisable par un avocat pour poruver que le logiciel est brevetable ?

      • [^] # Re: Et les logiciels libres ?

        Posté par  . Évalué à 3.

        La question est de savoir si le produit est vraiment censé etre sécurisé...



        Si ca n'est pas le cas (ou plutot si on estime que ca n'est pas le cas), alors on peut considérer les méchanismes de sécurité comme un plus, et l'éditeur peut dire "oui, mais c'est pas censé etre un produit sécurisé non plus".



        La, une telle loi (assez idiote quand meme par ailleurs, je trouve) préciserait bien que tout logiciel *doit* etre sécurisé (ou au moins ne pas etre un gouffre de sécurité).

    • [^] # Re: Et les logiciels libres ?

      Posté par  (site web personnel) . Évalué à 10.

      Il faudrait que les clauses de non responsabilité soit enlevées concernant les logiciels commerciaux. Après tout, quand on achète une gazinière, c'est pas pour qu'elle nous explose à la figure. De quelle droit les éditeurs de softs échappent à ce type d'obligations ?



      Concernant les logiciels libres, ils sont gratuits, et "trouvables" sur Internet. Je vais gueuler parce-que la gazinière que j'ai trouvé dans la rue ne fonctionne pas...

      • [^] # Re: Et les logiciels libres ?

        Posté par  . Évalué à 4.

        De toute façon, les clauses de déni de responsabilité sont quasiment toujours abusives. A toi ensuite d'essayer de les attaquer en procès...



        Pour les logiciels libres c'est très différent, car il n'y a pas de transaction commerciale, de contrat, rien du tout... tu peux pas être tenu responsable.

        • [^] # Re: Et les logiciels libres ?

          Posté par  . Évalué à 4.

          pas de transaction commerciale

          Va dire ca a Mandrake, ils vont etre content de voir que ce qu'il font n'est pas du business!!!



          Logiciel Libre != logiciel gratuit.

          • [^] # Re: Et les logiciels libres ?

            Posté par  . Évalué à 1.

            désolé, l'habitude de la debian :)



            Il me semble que les distributeurs sont aussi responsables. En tout cas en informatique, tu peux attaquer autant celui qui fait un logiciel que celui qui te le vend.

            Dans ce cas, oui, on pourrait attaquer mandrake...



            (tiens ceci dit juste en passant: les outils drake* de mandrake sont pas mal du tout! à améliorer, mais y'a beaucoup de choses bien. Par contre quand on est trop habitués aux fichiers de conf et à la console, on se sent perdu...)

  • # Hum...

    Posté par  (site web personnel) . Évalué à 10.

    "Encore les américains pour une drôle de loi", dit-il en sifflotant...



    Heu, et dans le cas d'un logiciel développé par la communauté, on punit qui et comment ?



    Et si c'est un petit logiciel perso mais assez utilisé. Et ben ça va devenir dangereux de distribuer ces softs... va falloir être anonyme partout...

    • [^] # Re: Hum...

      Posté par  . Évalué à 3.

      Justement, à force de prendre ce genre de décision, via des manières détournées, des jurisprudences, beaucoup de lobbys, et un homme de paille bien placé, comme d'habitude, la programmation finira par devenir une activité règlementée, au nom de la sécurité nationale ...



      Ce jour là, il y aura du champagne chez les grands éditeurs :-(

  • # Ca tombe bien

    Posté par  (site web personnel) . Évalué à 10.

    Comme par hasard, récemment la direction principale chez M$ est la sécurité et la privauté (hum ?).

    Enfin connaissant la rapidité avec laquelle M$ peut retourner sa veste, faut être prêt à tout !



    Ceci pour dire que, comme d'habitude, M$ pourrait ne pas être perdant du tout. Il a les moyens de "financer" des organismes qui diront que ses softs sont très bien, alors que les gens du libre ne pourront pas payer ces certifications... avec des conséquences dramatiques, puisque les entreprises seront tenues d'utiliser des softs certifiés !

    • [^] # Re: Ca tombe bien

      Posté par  . Évalué à 4.

      "avec des conséquences dramatiques, puisque les entreprises seront tenues d'utiliser des softs certifiés !"



      Brrrr... ça fait froid dans le dos.

      Ca craint !

    • [^] # Re: Ca tombe bien

      Posté par  . Évalué à 10.

      Je suis tout a fait d'accord, cette loi sent mauvais.



      Soyons humbles, un bug peut exister, apres tout les developpeurs sont humains - "errare humanum est ".

      Il me semble impossible de tester toutes les failles securites possibles sur un soft, a part depenser des sommes astronomiques dans des methodes de toutes facon pas forcement fiables - derriere il y aura toujours la presence d'un humain.

      L'humain cree l'algo, l'implementation de l'algo et eventuelement les tests de l'implementation.



      Par contre quand une faille est decouverte, il me semble tout a fait normal que les moyens soient mis en place pour corriger la faille. Mais ca c'est une autre histoire ...



      Il me semble en plus que dans la legislation francaise, un developeur a une obligation de moyens et pas une obligation de resultats.



      RuZed

      • [^] # Re: Ca tombe bien

        Posté par  . Évalué à 5.

        Il me semble en plus que dans la legislation francaise, un developeur a une obligation de moyens et pas une obligation de resultats.



        La loi française parle de ça pour un développeur ? Je sais qu'un garagiste a obligation de résultat, un médecin obligation de moyen. Et je pense que le développeur est plus proche du premier que du second (travail sur quelque chose créé par la main de l'homme). Logiquement, ce serait donc obligation de résultat.

        • [^] # Re: Ca tombe bien

          Posté par  . Évalué à 1.

          Il semblerait que l'activite de developpement soit assimilee a un travail artistique, contrairement au travail du garagiste (quoi que parfois .. :)



          Imaginons que l'on demande a un developpeur l'ecrire d'un soft qui doive repondre a un cahier des charges.



          Il se peut que le developpeur ne puissent pas remplir le cahier des charges correctement - impossibilite theorique par exemple, manque d'informations ....

          Le developpeur n'est pas poursuivable dans la mesure ou il a employe tous les moyens possibles.



          voila les vieux souvenirs que j'ai en la matiere.

          Un juriste peut il nous eclaire la dessus ?





          RuZed

          • [^] # Re: Ca tombe bien

            Posté par  (site web personnel) . Évalué à 1.

            Oui, mais le logiciel est assimilé à un bien meuble (cf mon post plus haut sur la directive européenne), il y a donc aussi obligation de résultat et les clauses des CLUF en deviennent abusives.

      • [^] # Re: Ca tombe bien

        Posté par  . Évalué à 1.

        Tu es donc en train de dire que si je vais à la FNAC, que j'achète le CD de Civilisation 3, que je l'installe et que j'ai systématiquement un écran bleu au démarrage, c'est tant pis pour moi ?

  • # C'est pas la joie tout ça !

    Posté par  . Évalué à 10.

    J'en profite ici pour pousser un coup de gueule ! C'est quand même pas croyable, ces histoires de liscences logicielles. Je bosse dans une boîte qui revend du matos informatique (un assembleur, quoi), et forcément, on vend pas mal de M$. Après tout, pourquoi pas. Les gens ne sont pas près à acheter du Linux, même si ils en ont plus pour beaucoup moins cher. Mais bon, ce n'est pas le débat que je veux lancer. Ce qui me révolte, c'est les clauses du CLUF de M$. "Si le problème persiste, contactez votre revendeur de votre matériel". Qu'est-ce qu'il en a à foutre le revendeur des bugs de XP ou 98 ???? J'me le demande bien ! Ou alors, on aurait les 14 000 000 de lignes de codes d'XP dans un tiroir quelque part, avec les bugs surlignés en jaune fluo et on ne m'aurait rien dit ??? Je trouve ça dégueulasse. Il me semble que l'industrie de l'informatique devrait fonctionner comme les autres : si ça marche pas, c'est de la faute au(x) développeur(s). Maintenant, je ne vois pas pourquoi il faut une loi pour ça ? Pour que les grosses boîtes aient des softs qui tournent bien ? Il me semble que la théorie du bordel était vouée à l'échec, d'après les dires des experts (payés par M$...). Or, il s'avère que ça marche, alors dans ce cas là, de gros projets, propres à un domaine, par ex. les banques, pourraient être financés par des développeurs payés par ces mêmes banques. Ca leur couterait moins cher que des liscences, et ils auraient un logiciel qui corresponde à leurs besoins au plus près !

    • [^] # Ce que fait le CLUF

      Posté par  (site web personnel, Mastodon) . Évalué à 6.

      Le CLUF est strictement illégal en France, mais n'a jamais été remis en cause. Le discours de MS au sujet de cette clause est «Le constructeur de chaque carte fait son propre driver, donc c'est souvent la compatibilité du driver qui est à remettre en cause et nullement la qualité de notre produit».

      En clair, vu qu'on ne fait (quasiment) pas de matériel, on est pas responsable de nos conneries, puisque les notres sont forcéments sûrs.



      wala wala

      • [^] # J'suis bien d'accord avec toi...

        Posté par  . Évalué à 8.

        Mais le fait que le CLUF soit illégal en france n'aide pas l'utilisateur à s'en sortir quand son PC plante lorsqu'il veut jouer à Word ou à Excel (ben oui, on peut pas travailler sérieusement avec ces daubes). De même que la vente forcée de leur OS (laissez moi rire). Ca non plus c'est pas légal, mais on les laisse faire.

        Conclusion, tu achètes du matos pas trop mal pour le moment, on t'oblige (sauf chez un assembleur :-)) à acheter Windaube avec (ce qui est illégal), et quand ça plante, c'est de ta faute, de celle du voisin, ou du chien de ma copine, mais pas de Kro ?!!! Il serait temps que les choses bougent de côté là, et une bonne fois pour toutes !

        • [^] # Re: J'suis bien d'accord avec toi...

          Posté par  (site web personnel) . Évalué à 2.

          Héhé, en draguant une fille hier soir, je me suis mis à lui parler de M$... (je sais, c'est pas top pour ça, mais ça l'intéressait)

          Je lui ai demandé si elle avait parfois de problèmes avec son ordi, voilà ce qui s'est dit :

          «Oui, souvent

          - Tu sais pourquoi ?

          - Ben... c'est des problèmes de l'ordinateur, y'a un truc électrique qui foire ou qqchose comme ça

          - Tu trouves pas que ton PC est plus souvent bloqué que ton magnétoscope ?

          - Si

          - Y'a de l'électronique dedans non, donc, ça devrait planter autant non ?

          - pas con :)

          - Ben non, selon moi, dans au moi 9 cas sur 10, c'est le fabuleux M$ Windows qui est coupable... étonnant non ?»



          Tout ça pour dire que chez M$, ce sont les rois !

          C'est jamais eux :)

      • [^] # Re: Ce que fait le CLUF

        Posté par  (site web personnel) . Évalué à 1.

        C'est pas trop qu'il est illégal, mais plutôt qu'on le suive :

        En effet, on ne peut se substituer à la loi (loi garantissant en France les droits du client à ce qu'un logiciel fonctionne) mais par contre, on peut mettre n'importe quoi, comme un CLUF, mais si quelqu'un suit ce CLUF, et bien, le but est atteint.

        Admettons (hum, excusez-moi) que je vous demande de me cirer les pompes. Rien ne me l'interdit. Admettons alors que vous vous excutiez ! Rien ne vous y oblige, mais vous le faites. Et bien, on est bien dans la même configuration, non ?

        Rien n'interdit de créer une licence qui dise "si vous utilisez ce soft, vous devez rester la main posée sur la tête, pendant le temps d'utilisation", mais je doute qu'elle soit suivie ...

        BIEN QUE :

        Toutes ces licences, GNU GPL ... Ne serait-elles pas soumises au même principe ?

        A savoir qu'elles n'auraient qu'une valeur toute informelle, en France pour le moins ?

    • [^] # Re: C'est pas la joie tout ça !

      Posté par  (site web personnel) . Évalué à 3.

      Une question : pourquoi, si ça pose tant de problèmes, vous n'arrêtez pas tout simplement de proposer spontanément les produits MS ? En proposant par défaut des PC préinstallés avec Debian ou Mandrake, vous n'y gagneriez pas sur le prix ? Cela n'empêchant pas de vendre une boîte Windows XP à celui qui la demande.



      À côté de ça, un gros panneau expliquant pourquoi vous n'encouragez pas les gens à utiliser de produits MS, parce que c'est mauvais pour vous et pour eux serait du plus bel effet.

      • [^] # Je voudrais bien voir cela ...

        Posté par  . Évalué à 4.

        Et je ne suis pas sur du tout que l'assembleur qui prendrait une telle mesure serait gagnant dans l'histoire ...

      • [^] # Re: C'est pas la joie tout ça !

        Posté par  (site web personnel) . Évalué à 3.

        Si un constructeur vend ses PC avec un autre OS, il ne pourra plus "bénéficier des conditions avantageuses" que Microsoft lui consent...

        Comme aucun constructeur ne peut se permettre de ne plus proposer MS du jour au lendemain, il est obligé de continuer...

        Pour le panneau, fais une maquette et propose-la aux petits assembleurs.

      • [^] # Mouais, c'est pas bête...

        Posté par  . Évalué à 2.

        J'y avait déjà pensé, mais ce qui pose vraiment problème, c'est que beaucoup de gens qui achètent des micros, le font pour être comme tout le monde, et pouvoir et jouer, et faire du word ( ce qui revient au même ). Si on vend du Linux pré-installé, ils ne sauront pas s'en servir, feront nimporte quoi, et seront tout le temps pendu à leur téléphone, sur notre ligne technique pour qu'on réponde à des questions du genre "J'était connecté root, et je voulais effacer le contenu d'un répertoire, depuis plus rien ne fonctionne"... Et autres choses du genre. Je ne défend pas M$ (bien au contraire), mais dans l'état actuel des choses, vendre du Linux est suicidaire, car il faudrait passer un temps considérable en formation, support, hot line... Comme ça a été dit, il y a un marché à prendre, sûrement, mais ce n'est pas la direction qu'a choisi la boîte où je suis !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.