Lorsque le scandale du système de surveillance américain a éclaté au grand jour l'année dernière, les réactions indignées ont été nombreuses de chaque côté de l'Atlantique. Les tentatives de riposte aussi. Sur le Vieux Continent, la commission des libertés civiles (LIBE) du parlement européen a par exemple suggéré diverses mesures pour limiter l'espionnage afin de mieux préserver la vie privée des individus. Celles-ci ont par la suite été reprises par la majorité des eurodéputés, alors réunis en session plénière.
Parmi ces pistes, on retrouve le logiciel libre. Dans son enquête, la commission LIBE a constaté que les révélations d'Edward Snowden "ont dévoilé de nombreuses faiblesses dans le système de sécurité informatique des institutions européennes". Il a alors été demandé "d'évaluer correctement les capacités techniques du parlement et les différentes options envisageables", dont l'utilisation du logiciel libre.
VÉRIFIER LE LOGICIEL LIBRE
Sauf qu'il ne suffit pas de basculer vers le logiciel libre pour que tout soit réglé. Certes, c'est une première étape importante, mais elle est insuffisante. Il convient aussi de vérifier que le programme en question ne comporte aucune fonction cachée. Car ce n'est pas parce que le code source est disponible que celui-ci a effectivement été vérifié. Or, cette étape demande du temps mais aussi des moyens.
En la matière, Heartbleed est un cas d'école. Malgré le caractère open source de la bibliothèque de cryptographie OpenSSL, il a fallu plusieurs années avant de repérer cette vulnérabilité. Suite à cette affaire, qui a mis en lumière le fait que l'évolution d'OpenSSL était assurée par une poignée de développeurs bénévoles, malgré son importance pour la sécurité des échanges, les grandes entreprises ont toutefois annoncé qu'elles allaient financer son développement.
Mais l'on pourrait aussi mentionner la faille dans le shell Bash, qui remonte à la fin des années 80.
C'est dans ce contexte que la députée Julia Reda, seule élue du parti pirate au parlement européen, est parvenue, avec l'aide du parlementaire Max Andersson, à obtenir que le budget 2015 de l'Union européenne finance un audit visant à vérifier la qualité des logiciels libres que les institutions européennes utilisent dans le cadre de leurs activités.
UN PROJET PILOTE D'UN MILLION D'EUROS
Dans un article publié sur son blog, Julia Reda explique que la somme débloquée par la Commission européenne, un million d'euros, provient d'une enveloppe de 40 millions d'euros servant à financer des projets pilotes. Cette initiative est par ailleurs susceptible d'être poursuivie dans le temps, entre un et trois ans de plus, en fonction de sa réussite. À terme, ce projet pourrait même être financé de façon régulière par l'Union européenne, indique l'eurodéputée.
Pour l'heure, le projet est supervisé par la Commission européenne et se compose de trois phases :
- Déterminer la façon dont les audits de code doivent être menés : il est question de produire une étude visant à relever les meilleures pratiques dans ce domaine et de les comparer avec celles déjà éprouvée au sein de la communauté open source ;
- Lister ce qui doit être audité : il s'agit d'établir une liste complète de l'ensemble des logiciels open source utilisés au sein des institutions européennes ;
- Expérimenter : cette dernière étape doit doit permettre de réaliser un examen "exemplaire" d'un logiciel libre de premier plan utilisé à la fois par l'Union européenne et le public. De cette façon, le grand public pourra aussi en profiter.
Pour Julia Reda, le seul caractère open source d'un logiciel ne suffit pas avoir la garantie d'un code sûr. Il faut que des gens s'en assurent, en l'analysant effectivement. Et hormis certains logiciels libres qui ont la chance d'avoir leur propre communauté bénévole et désintéressée, de nombreux programmes ne sont pas vérifiés. D'où la nécessité de mobiliser des fonds pour corriger le tir
"Il est clair que des ressources supplémentaires sont nécessaires pour découvrir et corriger les erreurs dans les logiciels sur lesquels le reste du monde a fini par s'appuyer", explique Julia Reda. Avec ce projet, l'eurodéputée juge qu'un double objectif peut être atteint : préserver les principes portés par le logiciel libre, incluant celui de le manipuler en toute liberté, tout en renforçant sa sécurité, pour qu'il protège efficacement l'utilisateur.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.