Lorsqu’un politicien parle des technologies de sécurité, il remet habituellement en cause vos droits civiques.
Tweet this!

Lorsqu’un politicien parle des technologies de sécurité, il remet habituellement en cause vos droits civiques. Surveillance de masse arbitraire, listes noires secrètes de blocage internet, mesures de sécurité théâtrales et ardueuses aux aéroports: sécurité et liberté sont présentées comme étant en concurrence — et beaucoup de politiciens sont de plus en plus enclins à sacrifier cette dernière pour avoir l’éphémère sensation de faire quelque chose pour « rétablir la sécurité ».

Sécurité et liberté ne sont pas forcément opposées. Je veux que l’Union Européenne concentre son énergie et ses fonds sur des projets qui améliorent à la fois la sécurité et l’autonomie de son peuple. À mon initiative, l’UE intégrera l’année prochaine dans son budget un geste dans cette direction:

1 million d’euros des 40 millions de l’UE pour les projets pilotes sera dépensé pour la sécurité des logiciels open source.

* * *

Le logiciel est partout. Que vous appeliez votre mère, conduisiez jusqu’au travail, retiriez de l’argent à la banque ou utilisiez un service gouvernemental: vous interagissez avec du code informatique. Le logiciel est au cœur de notre rapide évolution technologique.

Mais tout code contient des erreurs. Le développement de logiciels est un cycle sans fin de recherche et de correction de bogues —  avec l’espoir que quelqu’un n’ait pu les exploiter à des fins malveillantes.

Photo: steve_lynx

Photo: (cc) by-nc-sa steve_lynx
La  plupart du code informatique qui influence votre vie est tenu secret par les entreprises à qui il appartient. Même si vous aviez le temps et les compétences pour le faire, vous ne pourriez pas étudier ce que leur code fait et quels sont ses défauts — et qui pourrait avoir un accès dérobé à vos données.

À l’inverse, certains logiciels s’inscrivent dans la philosophe du logiciel libre et de l’open source. Ceux-ci sont développés au sein d’une communauté collaborative, permettant aux utilisateurs la liberté de vérifier ce qu’il se passe, copier et modifier le logiciel pour qu’il corresponde mieux à leurs attentes, et ainsi contribuer à son évolution. Vous avez probablement déjà  pu profiter de tels travaux: la majorité du système d’exploitation pour mobile Android, le navigateur web Firefox, le logiciel de blog WordPress, le lecteur de média VLC et beaucoup d’autres applications ainsi que la majeure partie de l’infrastructure d’Internet qui est moins visible de l’utilisateur final (serveurs web, bases de données, logiciels de routage, etc).

* * *

Les gouvernements devraient enrichir la communauté, non pas une seule entreprise.
Tweet this!

De mon point de vue, les gouvernements devraient fortement favoriser l’utilisation et le support des logiciels open source. Votre État ne devrait pas utiliser des logiciels plus accessibles aux agences de renseignement qu’à vous. Tous les logiciels pour lesquels un gouvernement paye devraient être open source. A travers ses actions, un gouvernement  devrait enrichir la communauté, pas une entreprise en particulier.

Une étude récente, commandée par mon groupe parlementaires, les Verts/ALE, a montré que le moyen le plus approprié pour le Parlement d’atteindre ses propres standards de « transparence extrême », est de « rendre l’utilisation du logiciel libre et des standards ouverts obligatoire » pour tous les systèmes et toutes les données utilisées pour le travail du Parlement. »

Malheureusement, nous sommes loin du but. Le Parlement utilise essentiellement des logiciels propriétaires comme Microsoft Outlook, qui rend presque impossible les  communications chiffrées avec les députés via leur adresse e-mail officielle (vous pouvez cependant m’envoyer des e-mails chiffrés sur mon adresse personnelle). La récente révélation des attaques sur l’entreprise de télécommunications Belge Belgacom, par les services de renseignement Etasuniens et Britanniques confirme qu’il s’agit d’un problème urgent.

* * *

L’utilisation de logiciels libres est un prérequis pour notre autonomie et notre sécurité — mais ce n’est pas suffisant. Ce n’est pas parce que quiconque peut vérifier que le code ne contient pas de faille, que cela va se produire automatiquement.

Heartbleed explanationUne explication simple de la façon dont « Heartbleed » travaillé

En avril dernier, le bogue « Heartbleed » a été découvert sur une partie essentielle d’un logiciel de chiffrement qui assure que personne ne puisse écouter votre banque en ligne. Le défaut était dans le code depuis mars 2012. En septembre, une découverte encore plus surprenante a été faite: un composant clef de la plupart des systèmes open-source a été prouvé exploitable depuis 1989. Ce bogue a été nommé « Shellshock ».

heartbleed

Il est clair que plus de ressources sont nécessaires pour découvrir et réparer de telles erreurs dans les logiciels sur lesquels le monde se repose. L’Union Européenne est le niveau idéal pour de tels investissements publics qui bénéficient non-seulement à ses administrations et à celles de tous les états membres, mais plus généralement au public.

* * *

L’UE peut uniquement dépenser de l’argent sur des choses spécifiquement prévues dans la loi. À une exception près : Une petite part du budget est réservée aux « projets pilotes et actions préparatoires » pour de nouvelles propositions pas encore établies dans la loi.

« Gouvernance et qualité du code de logiciels – Audit de logiciel libre et open-source » est le projet pilote soumis par mon collègue Max Andersson des Verts Suédois et moi-même. Après des négociations fructueuses, le budget 2015 réserve désormais 1 million d’euros pour notre projet pilote au point 26 03 77 02 (page 758). Le projet, qui sera conduit par la Commission, se compose de trois parties:

  1. Spécifier comment réaliser des audits de code : Une étude pour développer de bonnes pratiques pour la revue de code et l’évaluation de qualité, qui comparera de tels processus à l’intérieur de l’UE avec ceux de la communauté open source Debian.
  2. Découvrir ce qui a besoin d’être audité : un inventaire complet de tout les logiciels libres utilisés dans toutes les institutions de l’Union européenne.
  3. Premières expériences : un exemple de revue de certains logiciels critiques utilisés tant par l’UE que par le public.

Si le projet est fructueux, il pourra continuer en tant que projet pilote (jusqu’à un an de plus) ou se développer en une action préparatoire (qui peut durer jusqu’à un maximum de trois ans) – et finalement devenir une partie du budget régulier. A titre de comparaison, le projet pilote de recherche antiterroriste de 2004 a évolué en un financement sur 7 ans à hauteur d’1,4 milliards sous le cadre de recherche et de développement.

Je vais faire de mon mieux pour assurer que ce projet soit un premier pas effectif – mais pour une recherche de sécurité qui cherche à étendre, et non pas réduire vos libertés.

Dans les limites permises par la loi, l'auteur a levé tout droit d'auteur et droits voisins sur ce travail.

Comments closed.