IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

« Les logiciels propriétaires sont des matériaux de construction dangereux », avance un avocat
Qui estime qu'ils devraient pouvoir être inspectés

Le , par Stéphane le calme

226PARTAGES

10  0 
Doit-on permettre au public d’inspecter le code source des logiciels propriétaires ?
Oui, c'est une option envisageable
72 %
Non, cela ne devrait pas être permis
17 %
Je ne peux pas me prononcer
11 %
Voter 141 votants
Mise à jour du 17 / 12 / 2015 : les correctifs proposés par Volkswagen ont été approuvés

Le groupe Volkswagen a annoncé que les régulateurs allemands ont approuvé les correctifs proposés aux logiciels sur les moteurs diesel de ses voitures qui ont été au cœur d’un scandale de fraude aux tests antipollution. Il s’agit plus précisément des séries EA189 1,2 litre, 1,6 litre et 2 litres.

« Après des examens minutieux, l'Office fédéral allemand des véhicules à moteur (KBA) a complètement ratifié toutes ces mesures », a expliqué le groupe qui précise que les moteurs diesel 1,2 litre et 2 litres auront droit à une mise à jour qui devrait être effectuée en moins d’une demi-heure. Les moteurs diesel 1,6 litre auront également droit à une mise à jour, mais aussi à un « redresseur de flux » qui sera monté en face du capteur de masse d’air, une opération qui devra durer moins d’une heure.

« Ces mesures seront applicables en Europe », a précisé le groupe dans un communiqué de presse qui estime qu’une fois qu’elles auront été implémentées, les véhicules seront alors conformes aux standards d’émission, avec pour objectif de ne provoquer aucune altération de la puissance du moteur, de la consommation de carburant ou même de la performance.

Les implémentations de ces mesures devront commencer en fin janvier 2016.

Source : communiqué de presse Volkswagen
Il y a cinq ans, Eben Moglen, avocat et professeur de droit à l’université Columbia, est tombé sur une note qui indiquait que l’ascenseur de son hôtel était en panne et que l’hôtel s’excusait du désagrément causé. Il s’est alors demandé ce que serait devenu le monde si des outils comme les ascenseurs étaient conçus de telle manière qu’on ne soit pas capable de les inspecter. À l’occasion du meeting annuel Scottish Society for Computers and Law (SSCL), il allait faire un discours sur les dangers du code propriétaire qui contrôle de plus en plus de dispositifs chaque jour. « Les logiciels propriétaires sont des matériaux de construction dangereux ; vous ne pouvez pas les inspecter », estimait-il.

Plusieurs scandales ont éclaté entre 2010 et 2015 sur le sujet. Le plus récent concerne la marque automobile allemande Volkswagen, qui s’est retrouvée au centre d’un scandale au niveau mondial. En effet, mardi dernier, l’Allemand a reconnu avoir mis en place un logiciel sur les moteurs diesel d’environ 11 millions de ses voitures, afin de fausser les résultats de tests antipollution. Mais comment s’y est-il pris ?

Pour rappel, pour obtenir le droit de commercialiser un véhicule, tout constructeur doit se soumettre à une batterie de tests, destinés à mesurer le niveau d’émission de composants polluants. Pour cela, le véhicule est utilisé selon des critères précis, qui permettent d’établir les niveaux exacts d’émission de particules : si ces derniers sont trop élevés, l’autorisation de commercialisation n’est pas délivrée.

Pour fausser les résultats des normes antipollution, un algorithme était installé dans l’unité de commande électronique des Volkswagen dont le but était de détecter automatiquement, et donc sans intervention humaine, à quel moment le véhicule était soumis à un test de mesures antipollution par les autorités compétentes. Pour ce faire, il analysait certains paramètres qui étaient identiques à la procédure des tests en laboratoire : position du volant, pression barométrique, capot ouvert, vitesse du véhicule, etc. Ces différentes phases étant normalisées, il était aisé de concevoir un logiciel qui saurait les reconnaître.

L’agence américaine pour la protection de l’environnement (EPA) avance que, durant les tests qu’elle a menés, le module de contrôle électronique du véhicule a lancé un logiciel qui a produit des résultats d’émission satisfaisants. Cependant, dans des opérations normales du véhicule, le module de contrôle lançait un autre logiciel qui réduisait l’efficacité du système de contrôle d’émission (en particulier la réduction catalytique sélective, une technologie utilisée pour réduire les oxydes d’azote émis). Conséquence, l’émission d’oxydes d’azote pouvait être 10, voire 40 fois plus élevée que les niveaux de conformité de l’EPA, en fonction du type de cycle de conduite. La supercherie n’a pas été démasquée par l’EPA. Ce sont des ingénieurs à l’université de West Virginia qui ont éprouvé sur la route des voitures qui ont passé des inspections d’émission.

Ce qui nous ramène à Moglen, fondateur du Software Freedom Center, qui a avancé il y a déjà cinq ans que les logiciels doivent être transparents pour mieux servir l’intérêt public. « Les logiciels sont dans toute chose », a-t-il rappelé en citant les avions, les appareils médicaux, les voitures et en avançant que la plupart d’entre eux sont propriétaires et donc invisibles.

Mardi dernier, Moglen a rappelé l’histoire de l’ascenseur dans son hôtel. « La politique publique intelligente, comme nous l’avons appris depuis le début du 20e siècle, est d’exiger que les ascenseurs puissent être inspectés et d’obliger les constructeurs à les construire en tenant compte de ça. Si Volkswagen savait que chacun de ses clients qui achètent un véhicule a le droit de lire tous les codes source du logiciel dans le véhicule acheté, il n’aurait jamais envisagé la tricherie, parce que la certitude de se faire prendre un jour ou l’autre aurait été terrifiante ».

Ce n’est pas comme ça que les constructeurs voient les choses. Il faut rappeler que, aux États-Unis par exemple, le code dans les automobiles est protégé en vertu du Digital Millenium Copyright Act. Même si, l’année dernière, plusieurs groupes ont demandé à ce que le code soit disponible pour « des essais de bonne foi, l’identification, la divulgation et la réparation des dysfonctionnements ». Les groupes de constructeurs automobiles ne le voient pas de cet œil puisqu’ils estiment que permettre un examen du logiciel pourrait « constituer de graves menaces pour la sureté et la sécurité ».

Source : EPA (au format PDF), Sofware Freedom Law Center, Volkswagen

Et vous ?

Qu'en pensez-vous ? Doit-on permettre au public d’inspecter le code source des logiciels propriétaires ? Pourquoi ?

Est-ce qu'un test reste efficace si les questions sont connues d'avance ?

Forum Application

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/09/2015 à 11:21
Citation Envoyé par eulbobo Voir le message
Pas au public pour des raisons évidentes de sécurité et de secret industriel...
Secret industriel ok mais les raisons de sécurité je veux bien qu'on m'explique
15  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 24/09/2015 à 15:42
Le secret fortifie la croyance d'être en sécurité, et non la sécurité elle-même. On peut toujours faire du reverse engineering quand on est un black hat, open source ou pas.

Dans le domaine de la sécurité elle-même, on a bien compris la leçon, et c'est pourquoi on fait du public-privé : la méthode est publique, mais se base sur un caractère privé qui lui doit rester secret. Préserver le secret de la méthode, c'est soit de l'arriérisme (on n'y croit pas), soit une bonne excuse pour faire passer la sécurité à la corbeille à moindre coût (on y croit mais on s'en fout).
15  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 24/09/2015 à 12:40
Citation Envoyé par GPPro Voir le message
S'ils sont prêts à tricher comme ils l'ont fait pour des contrôles anti pollution (ce qui me surprend d'ailleurs car la chaîne de responsabilité est telle pour ce genre de tricherie que j'avais toujours pensé que ce genre de choses ne pouvait pas arriver, visiblement j'avais tort),
Ce genre de scandale ne m'étonne absolument pas, et cela arrive dans vraiment tous les domaines... Il y a un an ou deux il y avait le scandale de Samsung qui repérait les applications de benchmarks pour sortir des meilleurs résultats que prévus sur leurs smartphones (exactement la même situation donc.)
Chaque année au tour de France des spécialistes créent du dopage qui ne doit pas apparaître aux contrôles...

Avec un lien un peu plus capillotracté, l'Etat installe des radars et on utilise des avertisseurs de radar : au moment du contrôle on est à la bonne vitesse, avant et après non.

Bref, c'est le jeu du chat et de la souris en permanence et dans tous les domaines, plus les contrôles durcissent plus les contournements se complexifient...
12  0 
Avatar de mister3957
Membre expérimenté https://www.developpez.com
Le 24/09/2015 à 13:21
Ces différentes phases étant normalisées.
La question à se poser serait plutôt : Est-ce qu'un test est efficace si on connait les questions à l'avance ?
12  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/09/2015 à 11:06
Citation Envoyé par Stéphane le calme Voir le message
Les groupes de constructeurs automobiles ne le voient pas de cet œil puisqu’ils estiment que permettre un examen du logiciel pourrait « constituer de graves menaces pour la sureté et la sécurité ».
Quelle incompétence ... Oser sortir un truc pareil en 2015 ...

Citation Envoyé par Stéphane le calme Voir le message

Qu'en pensez-vous ? Doit-on permettre au public d’inspecter le code source des logiciels propriétaires ? Pourquoi ?
C'est compliqué ca revient à dire que l'on interdirait les licences propriétaires.
13  2 
Avatar de Zirak
Inactif https://www.developpez.com
Le 24/09/2015 à 11:56
Citation Envoyé par eulbobo Voir le message
Le fait que l'électronique contrôle presque tout sur certaines voitures fait en sorte qu'une personne mal intentionnée pourrait
- ouvrir ta voiture
- désactiver l'alarme
- démarrer ta voiture
- activer l'alarme
- obliger ta voiture à s'arrêter n'importe où (certains systèmes permettent de contrôler les freins)
- couper la direction assistée
- couper le moteur
- déclencher de fausses alarmes
- suivre le moindre de tes déplacements

etc...

On peut déjà faire tout ça avec une application téléphonique sans avoir accès au code source tellement la sécurité de certains constructeurs est moisies, donc au final, je ne vois pas trop la différence
15  4 
Avatar de GPPro
Membre éprouvé https://www.developpez.com
Le 24/09/2015 à 12:34
Citation Envoyé par Stéphane le calme  Voir le message
[B][SIZE=4]

Qu'en pensez-vous ? Doit-on permettre au public d’inspecter le code source des logiciels propriétaires ? Pourquoi ?

Forum Application

Je ne sais pas si vous avez pris es raccourcis dans la traduction mais lire un code source et vérifier qu'un exécutable fasse ce qui est attendu ce n'est pas la même chose. Qu'un développeur dise qu'il suffit de publier un code source pour être sûr de l'exécutable sensé correspondre, c'est du foutage de gu****. S'ils sont prêts à tricher comme ils l'ont fait pour des contrôles anti pollution (ce qui me surprend d'ailleurs car la chaîne de responsabilité est telle pour ce genre de tricherie que j'avais toujours pensé que ce genre de choses ne pouvait pas arriver, visiblement j'avais tort), substituer un code source pour un autre c'est de l'enfance de l'art.
11  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/09/2015 à 11:58
Citation Envoyé par eulbobo Voir le message
Le fait que l'électronique contrôle presque tout sur certaines voitures fait en sorte qu'une personne mal intentionnée pourrait

[...]

Après, la solution est peut-être de mettre moins d'électronique, ou que ça ne soit plus connecté sur l'extérieur (mais reste alors les problèmes liés au vol potentiel de voiture)...
Et en quoi le fait de publier le code est un danger pour la sécurité ?

Le sécurité par obfuscation c'était l'état de l'art dans les années 40 cher ami ...
13  3 
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 24/09/2015 à 13:41
"Oui, c'est une option envisageable" ou "Non, cela ne devrait pas être permis"

Une des réponses proposées est légèrement plus péremptoire que l'autre...

Plus sérieusement, si on ne peut pas compiler soi-même, on ne peut pas être sûr que le bidule qu'on nous présente est bel et bien le code source de l'application. Peut-être qu'ils ont truqué le carburateur...
10  0 
Avatar de AndMax
Membre éprouvé https://www.developpez.com
Le 29/08/2017 à 9:31
Citation Envoyé par abbe2017 Voir le message
Souvenez de cette énorme faille de sécurité dans le paquet debian openmachin (j'ai oublié le nom mais yavait OPEN dedans) ya 3ans je crois ...ah ils rigolaient moins les gens de l'opensource qui disaient que leur code était vérifier par des milliers de gens compétents dans la communauté (et aussi des milliers de gens malvaillants donc)....
OpenSSL: Grâce au côté libre de ce logiciel, le correctif était dispo quelques heures après la révélation de la faille (ce qui a été plus long par contre, c'est que des admins se réveillent pour mettre à jour leurs serveurs). Mais on est loin du "zero-day" que Microsoft ou Apple laisse trainer pendant des semaines ou des mois, et c'est encore pire chez d'autres éditeurs fermés.

Des gens compétents ont examiné OpenSSL, et ont créé LibreSSL... ça, tu ne peux le faire sur du privateur.
9  0