[gull] mise sous GPL et sécurité

Marc SCHAEFER schaefer at alphanet.ch
Sat Oct 13 12:02:46 CEST 2007 

On Sat, Oct 13, 2007 at 11:26:07AM +0200, HO Thi Ngoc Tu wrote:
> 1. Ouvrir le code peut attirer des personnes malveillantes qui
> pourraient pirater l'application et corrompre les données du système.

(à contre-point)

Effectivement, c'est ce qui est arrivé à Borland quand ils ont publié
leur Interbase en `open source': quelqu'un a trouvé assez rapidement la
backdoor qu'ils avaient dans leur code, à leur insu, depuis des années
9 ans. Dans ce cas précis, la sécurité était trompeuse pendant les 8 ans
précédents et c'est la communauté qui a permis de sécuriser le logiciel.

   http://www.cert.org/advisories/CA-2001-01.html

> 2. On ne peut pas être sûr qu'une contribution au code provenant d'une
> personne de bonne foi (mais peut-être peu rigoureuse) ne porte pas
> préjudice à des droits patrimoniaux d'un tiers. Ce dernier pourrait
> alors légitimement se retourner contre la personne contributrice, mais
> aussi contre tout utilisateur/développeur de l'application initiale
> ayant intégré cette contribution.

Ce risque me semble faible, dans la mesure où les contributions sont
relativement courtes (petits patches). A la rigueur, on peut faire
comme lors du procès AT&T <-> UCB/BSD: changer quelques lignes à
4 fichiers. Le risque existe lorsque l'on importe un gros sous-système,
en particulier s'il devient pierre angulaire du logiciel.

Il est aussi évident que le risque d'attaques (légales) augmente avec
l'importance du logiciel.  J'irais regarder chez OpenOffice.org pour
voir quelles démarches ont été entreprises par Sun.  Techniquement ils
ont enlevé pas mal de choses d'OpenOffice.org par rapport à l'original
StarOffice (la plupart, sinon toutes, voire plus, ont été
réimplémentées ou connectées de logiciels libres existants,
p.ex. le correcteur orthographique est ispell), mais légalement ils ont
probablement dû faire pas mal de choses.

Par contre, le corollaire à 1 et 2 pris simultanément est très
concret: qu'une partie de code ait effectivement été plagiée mais que
personne ne s'en était rendu compte car le logiciel n'était pas encore
ouvert.  Ce risque existe déjà, je pense que comme première mesure
l'entreprise devrait déposer une signature électronique de la source
auprès d'Interdeposit, pour au moins pouvoir prouver le `prior art' en
2007, avant la mise en libre.

Les brevets logiciels n'était pas valables en Suisse, sauf si le
logiciel est très spécifique à un domaine et donc intègre des concepts
brevetés mais non liés aux logiciels (p.ex. les 35 heures en France
:->), ce problème ne devrait pas se poser.

   http://www.patentattorneys.ch/jahia/Jahia/lang/en/pid/21

PS: un avis légal est recommandé, il y a notamment le cabinet P&TS à
    Neuchâtel qui s'occupe de problèmes de droits liés aux logiciels libres,
    d'après ma discussion d'il y a quelques mois avec Christophe SAAM,
    son directeur.

More information about the gull mailing list