Solutions Linux : La communauté encore sous l’effet Edward Snowden

Le logiciel libre peut-il être la pilule miracle contre les menaces sécuritaires révélées par les écoutes de la NSA ? C’est l'une des questions à laquelle a tenté de répondre l’édition 2014 de Solutions Linux.

Plus d’un an après les révélations d’Edward Snowden sur les écoutes de la NSA dans le monde entier, la communauté du logiciel libre et de l’Open Source a toujours la gueule de bois. Le logiciel connait une crise évidente de confiance. L’occasion pour la communauté du Libre réunie lors de l’édition 2014 de Solutions Linux, qui s’est déroulée cette semaine à Paris, de s’interroger sur la capacité des logiciels ouverts, du fait de leur transparence, à constituer à la réponse adéquate à ce trouble sécuritaire.

Logiquement, cette capacité d’ouverture du code donne au logiciel libre un avantage certain sur le propriétaire : celui d’avoir accès à ses lignes de code pour les auditer, s’accordent à dire les intervenants d’une table ronde organisée sur l’événement.  « Par principe, le logiciel libre est plus de confiance car le code peut être audité », commente Jérôme Notin, président de Nov’IT, chef de file du projet DAVFI (un projet d’environnement sécurisé sur Android). En scrutant le code, les failles et erreurs peuvent être détectées.

Le logiciel libre pourrait aussi dresser un autre rempart, face à ce trouble sécuritaire : son côté insaisissable. « La possibilité de pouvoir modifier le code joue un rôle dans la sécurité, explique Laurent Chemla, fondateur de Gandi et membre du collège d’orientation stratégique de la Quadrature du Net (voir également encadré ci-dessous). Les  logiciels libres ainsi que leur économie impliquent qu’ils soient impossibles à centraliser. Il est ainsi plus difficile de les espionner et d’y injecter du code. Si par exemple, Facebook rachète la start-up qui a conçu le logiciel, le code lui restera libre ».

Reste que tout n’est évidemment pas si rose. L’audit de code ne fait pas tout, souligne Jean-Philippe Gaulier, responsable de la sécurité du SI, DSIG, Orange. « Le logiciel libre constitue une première réponse. Mais le Libre ne veut pas forcément dire sécurisé, même si on peut aller plus loin dans l’audit. »

Et justement,  si l’audit est possible, grâce à l’accès au code, son exécution est loin d’être aussi simple, soutiennent de concert les intervenants. En cause, la qualité produite du code.  « Le code peut être si mal écrit qu’il en devient difficile à auditer et ce malgré son ouverture donc »,  soutient Laurent Chemla. A l’image par exemple d’OpenSSL dont la faille Heartbleed est encore dans tous les esprits. Qualité d’écriture certes, mais également des langages, rapporte Jean-Philippe Gaulier, qui estime qu’il est « extrêmement difficile d’écrire du bon code, surtout avec des langages 'backdorés' ».

Autre point soulevé, l’audit est également une question de ressources et de compétences associées. En clair, si l’accès à l’information est effectivement possible, tout comme l’audit de code, celui-ci est effectué selon le niveau de technicité et de compétence de chacun. Il faut donc « s’en donner les moyens », insiste encore Jean-Philippe Gaulier, expliquant qu’il s’agit là de l’affaire de l'écosystème dans sa totalité. 

Puis se pose logiquement la question du financement de ces projets libres qui structurent l’épine dorsale du Web. Ce que souligne d’ailleurs Ludovic Dubost, CEO de Xwiki :  « OpenSSL est certes un projet clé, mais ne dispose que d’1 million de dollar de budget. »   

Reste toutefois une note positive : la prise de conscience et surtout les audits de code qui ont suivi. D’autres initiatives ont également emboité le pas. Comme par exemple, la volonté du créateur du projet OpenBSD de nettoyer le code d’OpenSSL et d’en faire une librairie alternative, LibreSSL. Ou encore celle de la Linux Foundation qui entend réunir les ténors de l'IT comme Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware pour supporter financièrement  « les éléments critiques de l’infrastructure d’information mondiale ». Le concept commence ainsi à faire son chemin et le Libre constitue en somme un pas de plus vers la sécurité.

Caliopen : un projet de messagerie qui revisite la confidentialité

Laurent Chemla,  fondateur de Gandi et membre du collègue d’orientation stratégique de la Quadrature du Net, travaille actuellement à un projet de messagerie, baptisée CaliOpen (http://www.caliopen.org/), dont la vocation est d’aborder différemment les notions de sécurité des échanges et de confidentialités des données. « Depuis un an [depuis la découvertes des écoutes de la NSA, NDLR], rien n’a changé sur le plan technoologique », a-t-il lancé lors de Solutions Linux 2014. Caliopen entend s’adosser à un modèle décentralisée et mettra en musique des mécanismes de confidentialité avancés des échanges, d’identification du niveau de confiance de l’utilisateur et invitera également  à l’usage du chiffrement. Le tout dans une interface volontairement simple et épurée pour qu’elle soit facile d’accès à tout type d'utilisateur.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)