SECURITY: Logiciel propriétaire contre logiciel libre (open source)

Traduction d’une note de Bruce Schneier :

Voici une citation d’un responsable des élections à Los Angeles :

« Le logiciel développé pour InkaVote [système de vote informatique] est un logiciel propriétaire. Tout logiciel développé par des fournisseurs est propriétaire. Je pense qu’il est bizarre que certains ne veulent pas qu’il soit propriétaire. Si vous donnez aux gens le code source ouvert, elles auraient les infos sur la façon de le pirater. Nous pensons que la nature du logiciel propriétaire est bonne pour la sécurité. »

Elle est drôle, vraiment. Elle aurait dû dire : « Je pense qu’il est bizarre que les gens qui sont experts en sécurité informatique ne veulent pas que le logiciel soit propriétaire. Parlant en tant que quelqu’un qui n’y connaît rien en sécurité informatique, je pense que le secret est capital. » C’est une citation plus réaliste.

Comme je l’ai souvent dit, la sécurité ne découle pas du secret. Et souvent, le secret affaiblit la sécurité.

[Mise à jour] C’est marrant, quelques heures après avoir publié cette note, voilà que je tombe sur une confirmation du bien fondé de la critique de Schneier (via Infos du Net) :

Le concept du vote électronique n’est pas toujours très bien accueilli en France, mais il est bien ancré aux Etats-Unis, ce qui rend cette info si sensible. Des hakers ont démontré la possibilité de remplacer en quelques minutes la mémoire CompactFlash de l’ordinateur à voter par une autre, faisant booter la machine dessus et éxécutant un virus.

Problème, le malware permet de voler des voix de manière invisible, et peut contaminer d’autres machines en réseau sur le même district. Or ces appareils sont portables et peuvent être amenées aux domiciles des responsables juste avant les élections. De plus, il n’y a pas de documentation sur leur fonctionnement interne et peu de traces papiers.

DieBold, créateur du système, a utilisé la justice pour éviter des audits de sécurité et museler les critiques. Des solutions ouvertes et documentées car OpenSource existent mais la société refuse toute discussion. Le débat contestataire sur les résultats tendancieux des présidentielles Bush / Al Gore pourrait bien refaire surface.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *