Rencontres mondiales du logiciel libre : une édition 2017 marquée par la sécurité

Entre philosophie et pratique 18
Accès libre
image dediée
Crédits : Next INpact (CC-BY 3.0)
Sécurité
Par
le mardi 11 juillet 2017 à 16:07
Vincent Hermann

Nous nous sommes rendus à Saint-Étienne la semaine dernière pour prendre la température des Rencontres mondiales du logiciel libre. L'occasion de rencontrer nombre de projets, d'explorer les problèmes que pose la sécurité des objets connectés et d'aborder le difficile sujet du design de ces outils.

Les RMLL s’approchent doucement de leur vingtième anniversaire. Créées par l’Association bordelaise des utilisateurs de logiciels libres (ABUL) en 2000, elles ont eu lieu à leurs débuts à Bordeaux et plus généralement dans le sud-ouest. Depuis quelques années, elles prennent place dans d’autres villes de France. Cette fois-ci, elles avaient lieu à Saint-Étienne, jugée pratique par sa position centrale et la proximité de Lyon.

L’évènement permet avant tout d’échanger avec de nombreux acteurs, qu’il s’agisse de passionnés, d’entreprises ou d’associations diverses, comme l’April. Des chercheurs en sécurité, la CNIL et des enseignants sont également présents, car les RMLL permettent de suivre de nombreuses conférences sur des sujets très variés. Cette année, la sécurité était au cœur de nombreuses conversations et tables rondes.

Et puisque l’on parle de logiciel libre, il était tout à fait logique de commencer par une conférence de Richard Stallman sur la question, histoire d’en rappeler les bases philosophiques.

Richard Stallman, un discours bien rôdé

Sa conférence était conçue pour être une initiation générale au logiciel libre. L’expression même peut d’ailleurs être un problème, comme il l’a indiqué, puisqu’elle est assez régulièrement confondue avec « open source », malgré les nuances.

Une bonne partie du discours de celui que beaucoup considèrent comme le père du logiciel libre était consacrée aux différences entre ce dernier et, face à lui, le logiciel privateur. Un logiciel libre est donc un programme pleinement contrôlé par les utilisateurs, quand le privateur, à l’inverse, est un programme qui contrôle les utilisateurs.

La conférence appuie sur le noyau philosophique et éthique qui guide les concepteurs de logiciels libres, en rappelant plusieurs libertés fondamentales, donc celles de lire le code source, de le copier, de le modifier et de le redistribuer. Liberté ne signifiant pas obligation, chacun est donc libre de faire ce qu’il souhaite... dans les limites définies par la licence.

Il note par ailleurs qu’un logiciel privateur n’est pas nécessairement un programme local, mais peut être un service distant centralisé, aggravant d’ailleurs le problème selon Stallman (voir notre analyse de l'initiative Dégooglisons de Framasoft).

richard stallmanrichard stallman

Le conférencier insistait sur le « potentiel de séduction » des logiciels privateurs, promettant souvent d’être « commodes » (un mot qu’il apprécie particulièrement), et sur les efforts que les utilisateurs s’intéressant à leur propre liberté devraient faire pour les éviter. Une problématique aussi évoquée à Pas Sage En Seine (PSES).

Évidemment, une telle problématique ne touche qu’une partie des personnes éventuellement concernées, beaucoup n’ayant pas conscience de ces questions sous-jacentes. Le sujet intéresse néanmoins, puisque le public présent à la conférence de Stallman était diversifié : hommes et femmes de tout âge, et même des enfants.

Une accessibilité sur laquelle Stallman capitalise par une présentation très bien rodée, avec assez de traits d’humour pour que l’attention ne baisse pas, et par l’utilisation presque impeccable du français pour tout son discours.

L'éducation au centre des préoccupations

Mais l’éducation (thème récurrent aux RMLL) constituait un gros morceau de la conférence. Stallman pointe ainsi la manière dont les écoles et gouvernements se servent de logiciels privateurs, sans que les citoyens ou les élèves/étudiants n’aient leur mot à dire.

Le père du logiciel libre s’inquiète tout particulièrement de l’habitude donnée aux plus jeunes de se servir de ces solutions, créant une forme de dépendance à des produits fermés et payants qui « laissent leurs utilisateurs captifs ». Une question aussi évoquée par Frédéric Veron à PSES avec l'exemple de Framinetest.

Pour Stallman, ce problème est une « négation du principe même d’éducation ». Il se pose également à l’échelle gouvernementale, les données publiques étant victimes elles aussi de ce « hold-up ». Difficile de ne pas penser ici au contrat open bar négocié par l'armée en France avec Microsoft ou à celui signé avec le ministère de l'Éducation.

La thématique exposée par Stallman illustre à la fois les choix personnels et ceux de structures sur lesquelles les utilisateurs n’ont aucun contrôle. Elle implique cependant des choix de vie auxquels beaucoup ne sont pas prêts. Il indique lui-même renoncer à bien des services et produits que beaucoup estiment comme faisant partie de leur quotidien tels que Spotify et Netflix ou un Kindle d’Amazon qui permet à ce dernier de savoir qui lit quoi.

Les exemples sont nombreux, mais l’un d’entre eux synthétise l’ensemble de sa philosophie : il ne possède pas de smartphone, quintessence selon lui de tout ce qui cloche actuellement dans le monde informatique. Richard Stallman ne manque cependant pas d’humour, et c’est habillé d’une toge brune et auréolé d’un disque brillant qu’il déclamera finalement : « Il n’y a de vrai système que GNU, et Linux est l’un de ses noyaux ». Les fans apprécieront (et ont apprécié).

Mozilla se prépare une intense fin d’année pour Firefox

Lors de notre passage à Saint-Étienne nous avons aussi eu l'occasion de discuter avec Christophe Villeneuve, représentant de la Mozilla Foundation et contributeur notamment sur les WebExtensions. Évoquant Firefox et les améliorations à venir pour les prochains mois, un constat s’est imposé : la fin 2017 marquera une étape très importante pour le navigateur.

Firefox 57 s’annonce en effet comme une version majeure à plusieurs égards, même si le calendrier de certains éléments reste à confirmer. Ce sera d’abord la mouture activant par défaut les WebExtensions et coupant les anciens modules. Dans de nombreux cas, ils utilisent déjà ce standard du W3C, mais il n’est pas certain que tous soient compatibles d’ici novembre, à la sortie de cette version.

Il faut savoir que le travail de conversion peut être parfois long, nécessitant dans certaines situations de profondes réécritures. NoScript par exemple ne prévoit ainsi pas de remaniement dans l’immédiat, même si un groupe s’est attaqué au projet. En clair, il est possible qu’une partie des utilisateurs aient la mauvaise surprise de voir des extensions disparaître, même si la situation ne devrait pas être courante. 

Firefox 57 pourrait aussi être l’officialisation de Quantum (voir notre analyse), le nouveau moteur de rendu qui doit remplacer Gecko et doit arriver d'ici la fin de l’année. L'un de ses objectifs est de permettre une hausse des performances, en se voulant nettement plus moderne. Certaines parties sont actuellement présentes dans les moutures Nightly du navigateur, mais il faudra attendre encore un peu pour le tester intégralement.

Quantum est un chantier majeur, un navigateur ne changeant pas de moteur de rendu comme on change d'extensions. Les enjeux sont importants pour Mozilla, puisque l’éditeur veut revenir dans la course aux performances, en créant un moteur en langage Rust (tiré du projet Servo) pour répondre aux besoins modernes du web, notamment pour les applications. L’efficacité concrète de Quantum reste bien entendu encore à confirmer.

Firefox 57 pourrait aussi être la première version à proposer en standard les onglets contextuels. Derrière ce titre énigmatique se cache une fonction sur laquelle Mozilla n’a que très peu communiqué. Il s’agit ni plus ni moins d’onglets fonctionnant dans des conteneurs logiciels.

Utilisables dans les actuelles versions Nightly, ils se récupèrent dans la personnalisation de la barre d’outils, en déplaçant un bouton qui y donne accès. Lorsque l’on clique dessus, une liste de thèmes généraux apparaît : Personnel, Professionnel, Bancaire et Achats en ligne. Ils ne sont qu’indicatifs, l’utilisateur pouvant en créer autant qu’il souhaite.

firefox onglets contextuels

Une fois ouvert, un onglet contextuel agit comme un conteneur logiciel. Il applique bien le profil utilisateur en cours (historique, marque-pages, mots de passe…) et accède aux extensions, mais il ne peut pas communiquer avec les autres onglets. Il est donc isolé et se destine très clairement aux sites sur lesquels on souhaite une couche de sécurité complémentaire. Les cookies, le stockage local, la base de données IndexedDB et le cache de navigation sont ainsi séparés du reste du navigateur.

Le mécanisme ne bloque pas toute tentative de piratage mais doit permettre de lutter efficacement contre certains scénarios d’attaque, notamment celles de type XSS (cross-site scripting) et CSRF (Cross-Site Request Forgery). Notez également que le fonctionnement de ces onglets n’est pas encore tout à fait arrêté et qu’il peut donc encore changer dans les mois qui viennent.

Distributions Linux : de quoi trouver son bonheur

Qui dit logiciel libre dit nécessairement distributions GNU/Linux, bien que toutes ne soient pas 100 % libres, comme l’évoquait Richard Stallman. Rencontres mondiales oblige, beaucoup étaient sur place, représentées par des passionnés, contributeurs ou encore associations.

  • Debian

Difficile de parler de Linux sans évoquer Debian, tant la distribution est connue et utilisée, pour elle-même ou comme base pour d’autres systèmes, dont le plus connu est Ubuntu. Nous avons discuté avec Nicolas Dandrimont, président de l’association Debian France, et lui-même contributeur.

Projet débuté en 1993, Debian compte actuellement environ un millier de développeurs, tous ayant la possibilité de voter sur les choix d’évolution du système. Lorsque des débats techniques s’éternisent ou ne trouvent pas de solution évidente, un comité technique de huit personnes peut toutefois trancher.

Nous en avons profité pour aborder les grandes évolutions qui attendent le projet, désormais en marche vers sa version 10, qui n’arrivera sans doute pas avant deux ans : Buster. Comme un nombre croissant de distributions, Debian fera ainsi en sorte de proposer une session utilisateur qui soit par défaut sous Wayland, le serveur d’affichage qui remplace progressivement le très vieux X.org. Une transition de longue haleine, notamment pour résoudre les soucis de compatibilité avec certains pilotes graphiques.

Autre grand chantier en cours, mais beaucoup plus avancé celui-là, la compatibilité avec SecureBoot. Comme Nicolas Dandrimont nous l’a indiqué, la plupart des éléments sont déjà en place, notamment les signatures numériques utilisées pour contrôler l’intégrité de la chaine de démarrage.

Le shim est ainsi prêt depuis un moment. Ce composant, parfois appelé « logiciel de calage », est auto-certifié et utilisé pour s'assurer que le bootloader – le plus souvent GRUB – dispose de la bonne signature. GRUB va répéter l’opération pour le noyau Linux et ainsi de suite, l’idée globale étant de s’assurer que rien n’est venu s’insérer dans la chaine.

Puisque l’on parle de sécurité, Debian 10 vise également les 100 % de paquets reproductibles. Dans l’actuelle version 9, sortie le mois dernier, ils le sont déjà à 90 %. Traduction, ces paquets source sont capables de construire des binaires strictement identiques. L’intérêt pour l'utilisateur est de s’assurer qu’aucune attaque n’est venu altérer le compilateur ou la chaine de construction.

  • Fedora

Fedora aussi était sur place, représentée par l’association Borsalinux-FR, qui en assure la promotion dans l’Hexagone. Nous avons parlé avec Emmanuel Seyman, son secrétaire, au sujet de la prochaine version majeure qui doit sortir sous peu.

Fedora 26 ne sera pas moins importante que la mouture précédente, qui avait été la première distribution à présenter une session utilisateur par défaut sous Wayland. Dans la nouvelle version, cette intégration doit corriger les nombreux bugs apparus depuis la dernière fois. Emmanuel Seyman nous a par exemple évoqué le cas du pilote Nouveau pour les GPU NVIDIA. Dans son propre cas, les bugs graphiques présents avec Fedora 25 ont disparu.

Outre les traditionnelles mises à jour générales des paquets et composants (kernel 4.11.8, KDE 5.8, GNOME 3.24…), l’ensemble des paquets de Fedora 26 a été recompilé en utilisant la version 7 de GCC. Une étape qui permet certaines optimisations de performances, mais qui fait surtout le « ménage » dans la compilation C/C++ pour mieux coller aux standards ISO. Le support d’ARM sera également amélioré pour prendre en charge un nombre plus important de matériels. Par la suite, Fedora 27 intègrera la version 5.24 de Perl, qui conduira à une nouvelle compilation des paquets concernés.

Fedora est pour rappel une distribution activement soutenue par Red Hat, qui s’en sert à la manière d’un laboratoire et fait office de socle pour Red Hat Enterprise Linux (RHEL). Seyman ajoute qu'il s'agit d'un bon exemple de la manière dont le logiciel libre peut fonctionner. Fedora est en effet reprise pour RHEL, à son tour reprise par d’autres distributions, comme CentOS, populaire sur les serveurs. Certaines entreprises se servent également de RHEL, mais en reprenant des paquets de Fedora, souvent plus récents.

Comme nous l’assure le secrétaire de Borsalinux-FR, l’orientation principale de Fedora n’est pas amenée à changer. On restera donc sur une distribution entièrement libre, généraliste, sans fioritures ni modifications lourdes, et tablant partout où c’est possible sur les dernières versions des paquets (là où d’autres préfèrent au contraire se concentrer sur des révisions éprouvées, comme Debian).

  • Arch Linux

Arch Linux n’est pas directement comparable à Debian ou Fedora, dans la mesure où elle s’adresse avant tout à un public de connaisseurs ou souhaitant apprendre. Distribution binaire en rolling release, elle ne fournit pas dès le départ un environnement graphique.

L’orientation d’Arch Linux est en effet spécifique : plutôt que de fournir tout un ensemble de paquets que l’utilisateur va devoir trier ensuite pour ne garder que ce dont il a besoin, le système n’est présent initialement que sous forme d’une base. L’utilisateur passera alors par la ligne de commande et le gestionnaire de paquets Pacman pour choisir et installer ce dont il a réellement une utilité.

Arch Linux propose évidemment un dépôt principal dans lequel puiser, mais également un autre, géré par les utilisateurs et nommé AUR, pour Arch User Repository. Ils peuvent y placer les sources qu’ils souhaitent, accompagnées d’un fichier PKGBUILD, qui décrit la manière dont le paquet va ensuite être construit. Si ce processus évoque quelque chose à certains, c’est peut-être parce qu’on trouve aussi sous macOS des fichiers PKG.

La présence d’Arch Linux sur le salon, représentée par quelques aficionados, montre également un fil conducteur du monde du libre : la possibilité de s’orienter vers une manière de faire ou une autre, selon les sensibilités de chacun. Et même si l'on parle souvent de GNU Linux, tous les systèmes libres n'en sont pas forcément.

  • Haiku

C’est notamment le cas d’Haiku, un système d’exploitation très particulier, puisqu’il ne s’agit ni d’une distribution, ni d’un Linux. On pourrait le voir comme l’héritage de BeOS, créé par des développeurs d’applications qui appréciaient beaucoup ce système que l’on peut considérer depuis comme disparu.

Nous nous sommes entretenus avec l’un de ses contributeurs, Adrien Destugues. Haiku – en référence aux courts poèmes japonais en trois vers – est un système open source permettant de faire fonctionner les anciennes applications BeOS, ainsi que d’autres, nettement plus récentes.

Construit autour d’un noyau libre qui permettait notamment à ses débuts de faire fonctionner les pilotes de BeOS, il a depuis évolué en un système complet, proposant une gestion poussée des fenêtres (composées d’onglets que l’on peut agréger) ainsi qu’un système de fichiers largement centré sur les métadonnées.

haiku

Haiku n’est pas un « gros » projet, puisque pas plus d’une vingtaine de passionnés travaillent à son développement. Il représente bien toutefois la manière dont les compétences, encore une fois, se réunissent (ou parfois se divisent) en fonction des goûts et envie.

En alpha depuis plusieurs années, Haiku doit prochainement bénéficier d’une bêta, même si la route reste encore longue. Sur le site officiel, on peut cependant récupérer une image ISO qui servira à la fois de système Live et d’installeur.

Sécurité des objets connectés : le grand débat

Qu’il s’agisse de l’April (évidemment présente sur place), de la CNIL, de chercheurs en sécurité ou de divers éditeurs venus en curieux ou pour présenter leurs solutions, les Rencontres mondiales du logiciel libre ont été souvent l’occasion de discuter de sécurité.

Nous avons par exemple assisté à une table ronde sur celle des objets connectés, à laquelle étaient notamment présents Jean-Louis Lanet, chercheur au LHS (Laboratoire de Haute Sécurité) d’Inria Rennes, Olivier Desbiey de la CNIL et Laurent Chemla de CaliOpen, l’ensemble étant animée par Chantal Bernard-Putz, anciennement chef de projet informatique.

Le constat est particulièrement négatif. La vaste majorité de ces produits ne sont pas pensés dès le départ avec la sécurité en tête. Souvent. Dans le meilleur des cas, une petite surcouche est ajoutée, mais trop d’erreurs sont commises durant la conception, aboutissant aux multiples incidents que l’on connait aujourd’hui, pointe Jean-Louis Lanet.

Or, comme le précise Olivier Desbiey, ces produits brassent une quantité parfois importante de données personnelles, qui sont devenues une sorte de « pétrole » moderne. Autre danger inhérent aux objets connectés, le fait que l’on n’en est pas maître. Laurent Chemla insiste particulièrement sur ce point : tout comme une box Internet, les données transitent sans que l’on ait le contrôle sur ce qui est en fait.

Le discours rejoint ici celui de Richard Stallman, puisque Chemla aimerait éviter que le modèle du web, avec toute la centralisation qu’il implique, ne déborde sur les objets connectés. Les autorités françaises et européennes sont actives sur le sujet : la Commission et  l'agence de sécurité informatique européennes multiplient les pistes pour régler le problème, quand l'ANSSI pousse l'idée d'une (auto-)certification de ces appareils.

Acer Next Montre Leap Ware

Le problème serait-il moindre si des logiciels libres étaient utilisés dans ces produits ? « Non » répond Laurent Chemla : « Utiliser du logiciel libre n’est pas une garantie de sécurité en soi. Dans beaucoup de cas, les constructeurs prennent par exemple une version particulière du noyau Linux, souvent dans le but de réduire les coûts. Au moment de la commercialisation, cette version a probablement déjà fait l’objet de correctifs, qui ne sont pas compliqués. Après un ou deux ans en service, le produit se retrouve criblé de failles qui sont parfaitement connues et peuvent donc être exploitées ». Une problématique parfaitement illustrée par les cas du botnet Mirai ou des caméras connectées Foscam.

Le traitement des données était au centre des inquiétudes. L’exemple donné par Chantal Bernard-Putz est parlant : dans le cas d’un podomètre, comment être certain que personne ne va utiliser les informations accumulées sur le temps pour établir les habitudes de vie d’un utilisateur ? Olivier Desbiey pose la même question pour les voitures connectées.

Autre sujet d’angoisse dans ce domaine, la possibilité pour les assurances de mettre en place une forme de discrimination positive en récupérant les données d'appareils liés au confort et à la santé. Pour la CNIL, chaque cas est à examiner séparément. La collecte des données en elle-même n’est pas considérée comme un problème. Cependant, des critères précis sont examinés, notamment sa proportionnalité : la collecte est-elle justifiée ? À quoi serviront ces informations ?

Nous avons par ailleurs posé la question de la responsabilité à Olivier Desbiey. Avec l'exemple de Mirai, nous voulions savoir si des sanctions financières étaient envisageables contre des entreprises n'ayant pas travaillé la sécurité de leurs produits... occasionnant un impact financier pour les victimes, particulièrement des sociétés qui verraient ainsi leur chiffre d’affaires touché. La CNIL considère à ce sujet que le futur règlement européen (RGPD) devrait jouer un rôle important, puisqu’il sera possible d’attaquer les entreprises, avec des sanctions pouvant grimper jusqu’à 4% du chiffre d’affaires.

Notez que si certaines conférences étaient axées sur le grand public, d’autres l’étaient beaucoup moins. Par exemple, Clémentine Maurice, chercheuse en sécurité à l’université de Graz en Autriche, montrait comment il était possible de pirater la machine d’un utilisateur avec la méthode particulièrement complexe du martèlement de mémoire. Cette technique peut, si on parvient à l’exploiter, modifier le contenu de cellules de DRAM si elles se trouvent dans des puces contiguës à celle qui est visée. On peut ainsi inverser les 0 et 1 par surcharge électrique, en profitant de la proximité physique des puces, notamment dans la mémoire vive.

Clémentine Maurice firefox martèlement mémoire

Un milieu foisonnant

Globalement, les RMLL sont un bon moyen de rappeler que le monde du logiciel libre est foisonnant, tant les projets y sont nombreux. Il est trop souvent considéré de manière restrictive comme un milieu de passionnés qui cherchent avant tout à se faire plaisir. Pourtant, le libre est un acteur majeur du marché informatique, et certains projets ont même une importance capitale, notamment dans le domaine de la sécurité avec OpenSSL.

Si le partage des ressources et des connaissances peut être une finalité en soi, il existe aussi des projets fédérateurs. LibreOffice était sur place, pour rappeler que la métropole de Nantes y a migré il y a maintenant un an. Les développeurs travaillent principalement sur la version Online de la suite bureautique, qui permet aux entreprises de mettre en place leurs propres services l’utilisant.

La version 5.4 de LibreOffice, qui sortira bientôt, améliorera également les nouveaux éléments d’interface lancées il y a quelques mois, mais qui garderont un statut expérimental jusqu’à la prochaine évolution majeure (la version 5.5 est entre temps devenue la 6.0). Rappelons qu’ils permettent de modifier le visage de la suite, afin d’adapter les barres de fonctions aux usages, avec une version réduite et une autre rappelant les rubans d’Office. Les formules Excel seront également mieux supportées, et il sera (enfin !) possible de générer des graphiques depuis les tables de pivot.

Était également présente la société CZ.NIC, qui propose des routeurs open source, tant pour le matériel que le logiciel. Son système libre est basé sur OpenWRT et est régulièrement mis à jour. Le matériel peut être personnalisé via des options à l’achat ou après, des connecteurs spécifiques permettant d’étendre ses capacités, par exemple pour y relier un Raspberry Pi.

Résultat d’une campagne Indiegogo à succès (plus de 1,2 million de dollars récoltés), le routeur libre peut être acheté notamment sur Alzashop, avec un prix de départ de 215 euros sans Wi-Fi. Amazon en vend également deux modèles.

Attirer les utilisateurs, encore un défi

Il peut aussi s’agir de projets loin d’être terminés mais potentiellement très fédérateurs. C’est le cas de CaliOpen, dont nous avons déjà parlé. Porté par Laurent Chemla, il ambitionne de gérer l’ensemble des échanges entre utilisateurs, à commencer par les emails. Idée centrale, la création d’un indice de confidentialité.

Nommé Pi, pour Privacy Index, il fait également référence à la valeur mathématique, pour rappeler que la confidentialité totale, si on peut s’en approcher, n’est jamais atteinte. Une note élevée permettra alors de rassurer l’utilisateur. Chemla évoque à ce sujet l’analogie de la carte postale et de la lettre scellée, l’auteur adaptant son discours au niveau perçu de confidentialité.

Le Pi sera calculé en fonction d’informations diverses qui peuvent être techniques, comportementales ou contextuelles. L’immense projet, axé sur l’expérience utilisateur, va réclamer encore de travail, une version alpha n’étant pas attendue avant cet automne. Gandi, l'université Pierre et Marie Curie ou encore Qwant sont partenaires. Des ergonomes et sociologues participent également à ce chantier qui vise surtout le grand public.

Car c'est le combat de ces projets, que Richard Stallman semble lui-même oublier : attirer les utilisateurs en rendant le logiciel libre attirant et pratique. C'est ce qu'a compris Mozilla avec Firefox et ce que martèle avec justesse le designer Julien Dubedout. Ce n'est d'ailleurs pas un hasard si ce dernier travaille désormais sur CaliOpen via Gandi, qui soutient d'autres projets comme Cozy Cloud.


chargement
Chargement des commentaires...