Libre à lire !

Cybersécurité : les logiciels libres menacés par un excès de règles - Smart Tech

D’après un média publié le 29/08/2023 Source Avertissement

Personne·s Delphine Sabattier Jean-Paul Smets Stéphane Varoqui Arthur Heymans

Thèmes Europe Entreprise Économie

Type d’action Conférence

Type de publication Vidéo

Projet de règlement européen, le Cyber Resilience Act impose de lourdes responsabilités en matière de cybersécurité aux éditeurs de logiciels. Ces derniers se retrouvent alors menacés dans un écosystème qui favorise les grosses structures américaines. Ce texte risque, au nom de la cybersécurité, de priver la filière européenne de créateurs de logiciels... de cybersécurité.

Delphine Sabattier : C’est l’heure de votre grand rendez-vous avec le monde du Libre, du logiciel et du matériel libres, incarné par Jean-Paul Smets, PDG de Rapid.Space [1].
Bonjour Jean-Paul.

Jean-Paul Smets : Bonjour.

Delphine Sabattier : Merci d’être avec nous pour cette reprise et d’être venu, en plus, accompagné de deux personnes aujourd’hui, Stéphane Varoqui, PDG, Signal18 [2].
Bonjour Stéphane.

Stéphane Varoqui : Bonjour.

Delphine Sabattier : Et Arthur Heymans, qui est à distance avec nous. Il est en Belgique, il est chef de projet chez 9elements [3].
Vous allez voir, les sujets que nous allons aborder ensemble peuvent assez techniques, mais ils tournent tous autour de la question de la cybersécurité qui est quand même un sujet majeur.
Aujourd’hui Jean-Paul, tu veux, en l’occurrence, mettre en avant le fait que l’excès de règles de cybersécurité nuit au logiciel libre. Tu vas nous expliquer ça très clairement. Peut-être déjà revenir sur la dernière fois, au mois de mai, tu nous as parlé du Cyber Resilience Act [4], avec toute la communauté du Libre qui était vent debout contre ce texte qui mettait à mal la communauté.
Est-ce que tu peux revenir très rapidement sur ce texte et ce qui s’est passé depuis ?

Jean-Paul Smets : Le Cyber Resilience Act, le CRA, c’est un règlement européen qui dit que quand un développeur écrit un logiciel et qu’il y a une faille de sécurité dans le logiciel qu’il a écrit, il est responsable des conséquences et, s’il ne fait pas ce qu’il faut, il peut avoir une amende de 15 millions d’euros. Ça s’applique à tous les développeurs, y compris les développeurs de logiciels libres. Pour simplifier, vous êtes développeur, vous écrivez un logiciel, vous le publiez, vous le mettez en licence libre. Des gens le téléchargent, vous ne savez pas qui ils sont, mais peut-être que le ciel va vous tomber sur la tête un peu plus tard. Évidemment toutes les communautés – Mozilla, GitHub, le Conseil national du logiciel libre [5], Open Foundation Europe – sont extrêmement choquées par cela, mais ça y est le CRA est déjà au trilogue. Le trilogue c’est la réunion de la Commission, du Conseil des ministres de l’Union européenne et du Parlement européen, c’est la dernière partie dans le processus législatif donc ça va très bientôt sortir. On ne sait pas encore quelle est la version qui va sortir.

Delphine Sabattier : Est-ce que la communauté du Libre aura été entendue, ou pas, parce que, à priori, en tout cas en France, on ne voit pas pourquoi on aurait intérêt à pénaliser le Libre ?

Jean-Paul Smets : Cette histoire du CRA est allée tellement vite que les gens ne s’en sont rendu compte, en réalité, que vers juin ou juillet. Ils ont essayé de contacter des députés. Les députés, au Parlement, ont dit que ce n’était pas un sujet très important. Le texte n’a même pas été voté, ou débattu, au Parlement, il est passé directement au trilogue, donc il va très certainement s’appliquer, on espère dans la version du Conseil des ministres qui est la moins pire, mais il va quand même s’appliquer.

Delphine Sabattier : Avec quand même cette conscience, j’imagine, que le logiciel libre est un axe stratégique.

Jean-Paul Smets : C’est ce que dit la Commission, mais ils ont une espèce d’idée fleur bleue en disant que le logiciel libre c’est forcément des communautés de bénévoles. En fait, en Europe, le logiciel libre ce sont essentiellement des salariés dans des PME et parfois dans des instituts de recherche. Le texte de la Commission a mis une exception aux 15 millions d’euros d’amende pour les communautés de bénévoles. Mais tous les logiciels d’entreprises ont, à un moment ou à un autre, un salarié qui contribue et, dans certaines versions du texte, avoir un salarié fait que le logiciel peut être considéré comme un logiciel libre commercial, ça veut donc dire que pratiquement tous les logiciels libres vont subir les risques du CRA.

Delphine Sabattier : Pour autant il faut bien qu’on trouve des solutions pour avancer dans un monde plus sécurisé. Ce CRA a une raison d’être.

Jean-Paul Smets : Oui, les objets connectés. Vous avez une tondeuse à gazon connectée ou une brosse à dents connectée, ça n’a l’air de rien, mais si le fabricant de la tondeuse ou du véhicule oublie de mettre à jour le logiciel, ce logiciel est connecté à Internet, va avoir des failles, va être attaqué et ça va servir ensuite à créer des espèces de Skynets d’attaque de l’infrastructure internet pour attaquer les serveurs de banques, de gouvernements. Il y en avait marre que les fabricants d’objets connectés ne mettent pas à jour les logiciels des objets connectés. Le CRA met donc en place des procédures pour les obliger à le faire et ça c’est très bien.

Delphine Sabattier : C’est-à-dire qu’au départ ça vise les fabricants d’objets connectés, mais, au final, la responsabilité va être reportée sur l’éditeur du logiciel.

Jean-Paul Smets : Parce qu’ils ont une espèce d’idée de faire le développeur/payeur, un peu comme le principe pollueur/payeur, en disant que c’est celui qui est responsable de la faille qui paye. Comme dans l’objet connecté la faille se trouve dans du logiciel, ce n’est pas le vendeur de l’objet connecté qui paye mais celui qui a écrit le logiciel. Avec ce genre d’idée, ce sont donc les développeurs qui payent pour tout. On trouve cela dans d’autres textes européens : dans le Product Liability Directive, le texte qui va, en fait, définir le fonctionnement de la marque CE ; on trouve un peu des choses cela dans le IA Act, le règlement sur l’intelligence artificielle.
Toutes ces idées viennent, en fait, de deux personnes à l’OCDE, Laurent Bernat et Ghislain de Salins qui, depuis 10 ans, travaillent sur la sécurité numérique. La grande idée de l’OCDE c’est que toutes les parties prenantes doivent être responsabilisées en fonction de leur rôle, du contexte et de la capacité à agir. Et, pour l’OCDE, ce sont les développeurs qui doivent vérifier les vulnérabilités dans leur code, les tester et les corriger.

Delphine Sabattier : Ce principe de polluer/payeur fonctionne, mais pourquoi ne fonctionnerait-il pas quand on passe au monde du numérique ?

Jean-Paul Smets : En fait, ce n’est pas le monde du numérique, c’est au développeur et au créateur de logiciels ; c’est ça la différence. Quand vous est dans le pollueur/payeur, que vous avez une usine chimique qui a eu des centaines de millions d’euros d’investissement, elle a les moyens de faire en sorte de ne pas polluer ou de payer si elle a pollué. Mais quand on est chez les développeurs, les développeurs sont quasiment des artistes qui créent du code, ce sont souvent quelques personnes, ce n’est pas plus gros qu’un groupe de rock, et c’est sûr qu’ils n’ont pas les moyens de prendre la responsabilité des failles, en tout cas financièrement.
En mettant en place cette espère d’idée de développeur/payeur, le problème c’est qu’on impose les mêmes contraintes à une entreprise comme Microsoft, un géant de l’édition de logiciels, et à une PME comme Signal18 de Stéphane Varoqui, alors qu’elles n’ont pas du tout les mêmes moyens. On va donc simplement filtrer l’offre en faisant en sorte que les grands éditeurs, qui ont les moyens de créer une équipe dédiée à la réglementation, vont faire et les petites ne seront pas capables de prendre en charge la responsabilité qu’on leur impose. C’est pour cela que j’ai pensé que c’est une bonne idée de montrer, justement sur des logiciels de cybersécurité, comment les règles de cybersécurité vont conduire à, on va dire, attaquer la possibilité d’exister de logiciels libres de cybersécurité.

Delphine Sabattier : C‘est aussi pour cela que tu es venu accompagné de groupes de rock, des artistes du logiciel.

Jean-Paul Smets : Exactement.

Delphine Sabattier : Tu vas nous présenter Arthur.

Jean-Paul Smets : Arthur Heymans est un des principaux contributeurs de Coreboot [6]. Coreboot sert à initialiser le matériel quand on démarre un serveur ou un PC, ce qu’on appelle les BIOS. Avant, les BIOS étaient des logiciels propriétaires qui étaient faits par Phoenix ou American Megatrends et récemment on a des BIOS libres, Coreboot est le principal. Coreboot est utilisé par exemple par Google dans tous les Chromebooks, pour démarrer les Chromebooks qui sont réputés les plus fiables dans le monde des portables, mais aussi par Facebook dans son infrastructure.
Pourquoi c’est très important ? Si vous initialisez mal un matériel, même le plus sûr des systèmes d’exploitation ne va plus être sûr parce que ce qui a initialisé le matériel peut mettre des sortes de point d’entrée ou des points de faille. Les grands opérateurs d’infrastructures préfèrent aujourd’hui les BIOS libres comme Coreboot pour être sûrs de tout contrôler, de pouvoir vérifier la sécurité de leurs infrastructures.

Delphine Sabattier : J’ai une question à poser à Arthur : pourquoi un BIOS libre, en l’occurrence, serait-il plus sécurisé qu’un BIOS propriétaire ?

Arthur Heymans : En tout cas, quand on travaille en open source, on travaille dans un grand groupe de personnes, avec des personnes qui ont toutes les mêmes enjeux de sécurité. On va donc avoir plus de contrôle sur le code que d’autres gens ont écrit. Il y a donc plus d’yeux sur le code et, vu que tout est ouvert, on n’y cache rien. On ne cache pas certaines vulnérabilités, on essaye de ne pas en avoir ; c’est déjà une grande différence.

Delphine Sabattier : Jean-Paul citait tout à l’heure le Chromebook. Ça veut dire que vos clients, Arthur, ont aujourd’hui la dimension des Big Tech, des GAFAM ?

Arthur Heymans : Oui, c’est correct. On travaille régulièrement avec des très gros du genre Facebook, Google, ou ByteDance, pas nécessairement des clients, mais on collabore avec eux sur des projets.

Delphine Sabattier : Vous avez également des clients en Europe ?

Arthur Heymans : Oui. On a de clients aux Pays-Bas, en Allemagne, en Suède.

Delphine Sabattier : Quels types de clients ? Quels types d’organisations ont intérêt à travailler avec vous, cherchent cette ultra-sécurité jusqu’à l’opération de démarrage des machines et des serveurs ?

Arthur Heymans : On a des clients très variés. On a des clients qui font des workstations c’est-à-dire des ordinateurs pour des pros, ou des cabinets qui font des computations pour, entre autres, des machines médicales. On a un provider de VPN comme client. On a même un client qui fait des barbecues intelligents, c’est donc très varié.

Delphine Sabattier : S’il y avait une faille dans une des machines qui utilise Coreboot, votre programme, seriez-vous responsable ? Comment voyez-vous les choses, quel est votre point de vue sur ce règlement européen ?

Arthur Heymans : À la base, Coreboot fonctionne une fois et puis ne laisse rien dans la mémoire, c’est donc rarement un problème mais c’est parfois le cas. Quand c’est le cas, on essaye d’avoir ce qu’on appelle un responsible disclosure, c’est-à-dire faire savoir à des partenaires, de façon responsable, qu’il y a un problème et puis proposer des solutions au problème. Mais qui prend la responsabilité s’il y a réellement un problème chez un des utilisateurs de Coreboot ? C’est une question à laquelle je n’ai pas la réponse.

Delphine Sabattier : C’est ennuyeux, j’imagine, de ne pas avoir la réponse aujourd’hui.
On va s’intéresser maintenant à Varoqui. Tu veux aussi nous le présenter, Jean-Paul ?

Jean-Paul Smets : Stéphane est un ancien de MariaDB [7], la base de données libre probablement la plus utilisée : Google fait tourner plus d’un million de serveurs MariaDB aux dernières nouvelles.
Il a écrit un logiciel qui s’appelle Replication-manager [8], Repman, qui sert à automatiser trois aspects dans les bases de données : la montée en charge, l’automatisation du plan de continuité, les backups et les restaurations, et l’automatisation de la disponibilité. Les deux derniers points, plan de continuité et disponibilité, sont présents dans à peu près tous les guides de cybersécurité de toutes les multinationales et sont imposés à leurs fournisseurs.

Delphine Sabattier : Cette question de la cybersécurité est donc intégrée chez vous.

Stéphane Varoqui : Oui. C’est sûr, on y fait attention. Ça permet quand même de garder des plans de continuité donc de ne pas perdre de données, c’est très important. Après, ça reste quand même des choses compliquées parce que les bases de données c’est un domaine complexe, il y a beaucoup de paramétrages.
Par exemple l’encryptage des disques durs ce sont de nouvelles fonctionnalités et elles ne sont pas forcément intégrées dans MariaDB . On propose des configurations libres que les utilisateurs peuvent choisir. Si eux n’ont pas fait le bon choix, on peut les aider, c’est d’ailleurs comme ça qu’on vend du service. Quand on dit que les sociétés open source ce ne sont que des gens font du bénévolat dessus, ce n’est pas du tout le cas. La plupart des produits open source – je l’ai vécu pour MySQL, pour MariaDB – sont des produits où il y a une grosse communauté derrière une société qui vend du service et ce service-là c’est la connaissance de son produit.

Delphine Sabattier : Et qui vend du service à des grandes organisations. Quand on parle des bases de données que vous savez faire fonctionner, on parle de quoi ? On parle de qui comme clients ?

Stéphane Varoqui : On va parler de Google, on va parler de Facebook, on va parler de sociétés en Asie type Alibaba, ce type de clients.

Delphine Sabattier : Je pose la question à chaque fois : en Europe, en France, avez-vous également des clients ?

Stéphane Varoqui : Oui. En France on a, par exemple, Le Figaro qui a beaucoup de sociétés sur le Web, donc la disponibilité et la montée en charge sont des choses critiques. Ils ont beaucoup de services, comme la chaîne Meteo Consult, des choses comme ça.

Delphine Sabattier : Des services publics également ?

Stéphane Varoqui : Non pas du tout. Nous sommes très peu présents dans les services publics.

Delphine Sabattier : Vous n’êtes pas identifiés ?

Stéphane Varoqui : Non, nous ne sommes pas identifiés. La société est récente, elle a quatre ans. Je voulais dire que dans une société open source comme la mienne on passe 80 % du temps à faire du service pour gagner de l’argent pour pouvoir, après, passer du temps sur son produit et c’est le produit qui amène la valeur ajoutée. On essaie de grossir en prenant des ressources externes qui travaillent sur le code, des gens qui contribuent. Mais, principalement, il faut gagner de l’argent pour pouvoir aborder ces côtés de sécurité et là on va nous mettre beaucoup de contraintes.

Delphine Sabattier : Quelles sont les principales contraintes, aujourd’hui, qui vous inquiètent ?

Stéphane Varoqui : L’open source s’est beaucoup démocratisée, peu de grandes sociétés n’utilisent pas de produits open source et, du coup, elles ont pris l’habitude de ne pas payer. Nous sommes vraiment, l’open source, la variable d’ajustement. Maintenant les produits open source sont vendus dans le cloud et nous ne recevons pas forcément, nous les développeurs, la rétribution des gens qui les distribuent. Par exemple, quand Google distribue un produit en mode SaaS as a Software, comme MariaDB...

Delphine Sabattier : Vous ne touchez pas de droits dessus.

Stéphane Varoqui : Nous ne touchons pas de droits dessus, nous ne touchons pas d’argent. C’est nous qui prenons en charge le développement et ce sont eux qui en profitent financièrement puisqu’ils louent leur matériel avec le produit qui tourne. Du coup, la seule façon pour les éditeurs open source de s’en sortir, c’est d’aller vers le cloud, de devenir un cloud, un cloud compétiteur, c’est ce qu’a fait MariaDB quand je l’ai quittée. MariaDb a créé un cloud avec sa solution personnelle, ils ont une partie propriétaire sur la partie open source ce qui leur permet de gagner des marchés, de commercialiser et de continuer à développer le produit.
En mettant des contraintes comme ça, on va avoir beaucoup de mal.

Delphine Sabattier : C’est-à-dire ? Vous estimez que cette responsabilité qui va vous incomber sur la partie cybersécurité risque de vous coûter de l’argent ?

Stéphane Varoqui : Du temps et aussi de devoir grossir trop vite, prendre beaucoup d’investisseurs pour pouvoir y arriver. Alors que beaucoup de sociétés open source se créent à la base avec un noyau de personnes, des ingénieurs qui sont passionnés par un sujet, qui développent et, avec leurs services, continuent à faire développer la société. Du coup ce n’est plus ça, non seulement il faut prendre une DRH, mais il faut prendre aussi toute la partie juridique qui va avec.

Delphine Sabattier : Oui, un conseil juridique ou un service juridique.
Merci beaucoup pour ces éclairages. Jean-Paul Smets, PDG de Rapid.Space était avec nous. À distance, Arthur Heymans, chef de projet chez 9elements et Stéphane Varoqui, PDG de Signal18.
En tout cas, j’espère que vous aurez des réponses à toutes vos questions parce que je vois tout cela est quand même encore un peu flou et en suspend.

On termine cette édition avec notre rendez-vous J’y crois et j’y crois à quoi ? À la signature électronique française.