Gouvernement français et logiciels libre : du bon et du moins bon

Posté par  (site web personnel) . Édité par Benoît Sibaud, Davy Defaud et Florent Zara. Modéré par claudex. Licence CC By‑SA.
Étiquettes :
31
19
mai
2013
Microsoft

Après la circulaire Ayrault, on pouvait s’attendre à une politique volontariste et cohérente en matière d’informatique. Malheureusement, en France, certains ministères n’ont cure des directives du Premier ministre, en particulier celui de la Défense. Ce dernier passant un accord commercial avec Microsoft Irlande.

Suite aux protestations des promoteurs des logiciels libres, un nouvel accord serait en cours de négociation : le contrat serait passé avec une succession de sociétés, la dernière signant avec Microsoft Irlande.

Heureusement, tout n’est pas aussi noir… Un accord cadre vient d’être publié par la direction informatique du ministère de l’Intérieur. Il précise les conditions dans lesquelles doivent être passés les marchés relatifs aux postes de travail pour les ministères de l’Intérieur et de la Justice (pendant 4 ans). Voir la suite de la dépêche pour plus de détails.

Accès aux documents

Accéder aux appels d’offres n’est pas très simple : en allant sur le site des marchés publics, il faut d’abord aller sur la page Fourniture de matériels micro‐informatiques. Pour une consultation anonyme, il faut cocher deux cases et valider pour pouvoir télécharger le document. Ensuite, il faut le décompresser pour enfin trouver le document PDF.

Si l’on n’est pas prévenu de l’existence du document, on a peu de chance de le trouver ! Il est aussi assez surprenant de trouver en note de bas de page « reproduction du document à un tiers interdite » !

Quelques infos sur le lotissement

lot 1

Le lot 1 concerne des dizaines de milliers d’unités centrales fournies avec « système d’exploitation Microsoft 32 bits » (47 %), « 64 bits » (19 %) ou « sans système d’exploitation » (34 %). Le matériel doit être certifié pour fonctionner avec le « système d’exploitation Microsoft Windows 7, 32 et 64 bits, en version professionnelle » et « avec la distribution Ubuntu en version 12.04 LTS ».

lot 2

Le deuxième lot concerne des « tablet PC », des portables et ultraportables (25 % sans système, le reste en Microsoft Windows divers et variés). Ici aussi, à part pour les « tablet PC » uniquement Windows, le matériel doit être doublement certifié.

lot 3

Le lot numéro 3 concerne des tablettes tactiles avec système d’exploitation « Android 4.1 ou supérieur » (50 %) ou « Windows 8 professionnel » (50 %).

lot 4

Ce lot concerne des clients légers « compatibles carte agent ministériel » (86 %) ou « avec système d’exploitation Microsoft Windows 7 version Embedded Standard » (14 %). Il n’y a donc pas de clients légers non Microsoft mentionnés.

lot 5

Ce dernier lot concerne les imprimantes et demande une compatibilité pour l’accessibilité (non‐voyant) avec le logiciel propriétaire « Wintel » (incluant Jaws).

Extraits du document CCTP_AC_Micros_v15.pdf inclus dans DCE_partiel_ADu180213.zip

Page 8/67 : « Les mises à jour des BIOS ou des UEFI doivent pouvoir se faire par une procédure externe et autonome (clés USB, etc.) sans nécessiter de passer par le système d’exploitation de la machine. »

On peut lire dans ce même document :
« Par ailleurs, le BIOS (ou UEFI) des matériels des lots 1 à 4 ne pourra contraindre l’Administration à l’utilisation d’une version spécifique et signée d’un système d’exploitation particulier. »

Cela empêche Microsoft de verrouiller ses machines avec Windows et un BIOS signé ou des mesures techniques de protection.

Aller plus loin

  • # Irlande ?

    Posté par  . Évalué à 10.

    La première chose qui me choque, c'est de voir que l'état ne traite pas avec Microsoft France ? C'est lamentable qu'un ministère participe à de l'optimisation fiscal pendant qu'un autre essaye de mettre un terme à ces pratiques.
    http://www.channelnews.fr/actu-societes/fournisseurs/13125-microsoft-soupconne-de-fraude-fiscale.html

    • [^] # Re: Irlande ?

      Posté par  . Évalué à 9.

      Oui, enfin si on regarde en détail comment le Ministère de la Défense faisait au départ, on se dit qu'ils n'étaient plus à ça près: ils ont marché sur quasiment tous les grands principes des marchés publics.

      Là ils font juste un petit pas timide dans la bonne direction pour dire de, en espérant très fort que ça ne changera rien au résultat.

    • [^] # Re: Irlande ?

      Posté par  . Évalué à 9.

      La première chose qui me choque, c'est de voir que l'état ne traite pas avec Microsoft France ?

      La loi sur les marchés publiques impose qu'au delà de 400000 € le marché est publié à l'échelle européenne.
      Et même en dessous de ce seuil n'importe quelle entreprise européenne peut répondre (je crois).

      C'est Microsoft Irlande qui réponds pour des raisons d'évasion fiscale d'organisation interne.

    • [^] # Re: Irlande ?

      Posté par  (site web personnel) . Évalué à 6.

      La première chose qui me choque, c'est l'armée utilise des logiciels sans savoir ce qu'il y a dedans. Une petite backdoor et hop plus besoin d'espion!

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Irlande ?

        Posté par  . Évalué à -5.

        Ca fait des annees que la France a acces aux sources de Windows et peut les recompiler.

        • [^] # Re: Irlande ?

          Posté par  (site web personnel) . Évalué à 1.

          Des sources de cette info ? Et est-ce que c'est inclus dans le contrat présent ? Ou bien l'armée-fait-ce-qu'elle-veut-circulez-monsieur ?

          • [^] # Re: Irlande ?

            Posté par  (site web personnel) . Évalué à 2.

            Des sources de cette info ?

            Et si ça venait d'un développeur du noyau windows l'information aurait-elle plus de poids ?

            • [^] # Re: Irlande ?

              Posté par  . Évalué à -1.

              Oui, tout à fait. À condition que la personne en question ne fasse pas exclusivement des commentaires en faveur de Microsoft. Car dans ce cas on pourrait avoir un léger commencement de début de doute à propos de ce qu'il raconte.

              • [^] # Re: Irlande ?

                Posté par  (site web personnel) . Évalué à 1.

                Oué enfin c'est pas la première fois ni le premier endroit où je lis qu'il est possible d'avoir le sources de windows.

                • [^] # Re: Irlande ?

                  Posté par  (site web personnel) . Évalué à 0.

                  Et oui, comme quoi c'est plus facile de moinser et de faire comme si ça n'existait pas. C'est pas comme ça que le libre gagnera autre chose qu'une attitude d'amateur. Et pour l'exemple, voir le commentaire juste en dessous qui confirme.

                • [^] # Re: Irlande ?

                  Posté par  . Évalué à 5.

                  OUi c'est possible lorsque l'on rentre dans une des cases de l'initiative Shared Source.

                  Pour ce qui est de la recompilation (en vue d'une utilisation en production), je suis beaucoup plus circonspect.

              • [^] # Re: Irlande ?

                Posté par  . Évalué à 5.

                La question ne devrait pas etre dans quel sens vont mes commentaires, mais si je racontes des conneries ou pas. Je vois mal en quoi le sens des commentaires est important, c'est le cote factual qui compte.

                • [^] # Re: Irlande ?

                  Posté par  (site web personnel) . Évalué à 3.

                  Il y a dix ans, que pBpG soit moinssé dès qu'il postait "Youpi, il fait beau" étais une sorte de tradition amusante. Aujourd'hui, c'est devenu lourds à la longue…

          • [^] # Re: Irlande ?

            Posté par  . Évalué à 2.

            Bonjour,
            J'étais au ministère de la défense jusqu'au mois de septembre et je l'ai quitter en partie à cause de l'orientation prise au niveau informatique mais il est exact que le ministère de la défense à pu avoir accès au sources de Windows même si personnellement, je n'ai pas pu les voir !!

            • [^] # Re: Irlande ?

              Posté par  . Évalué à 4.

              avoir accès aux sources != pouvoir compiler

              Tant qu'on ne peut pas compiler, les sources ne garantissent pas que le produit est celui auquel on s'attends.

        • [^] # Re: Irlande ?

          Posté par  . Évalué à 5.

          Comme s'ils avaient le temps de vérifier tout le code. Au moins un logiciel libre a été vu par un peu plus de monde.

          Écrit en Bépo selon l’orthographe de 1990

          • [^] # Re: Irlande ?

            Posté par  (site web personnel) . Évalué à 5.

            Comme s'ils avaient le temps de vérifier tout le code. Au moins un logiciel libre a été vu par un peu plus de monde.

            Oué enfin le logiciel libre, tout le monde ne le regarde pas, et même quand c'est des portions critiques ça laisse passer des bugs (chez debian ou chez NetBSD par exemple).

            Le truc c'est que tu ne peux pas renvoyer l'argument "ils ont accès aux sources" juste par un "comme s'ils avaient le temps". Car c'est exactement pareil pour du logiciel libre en réalité. Et j'ose espérer que s'ils ont les sources c'est pas uniquement pour les ranger dans un coin.

            • [^] # Re: Irlande ?

              Posté par  . Évalué à 2.

              Oué enfin le logiciel libre, tout le monde ne le regarde pas,

              Rho tu pinailles, j'ai dit «un peu plus».

              et même quand c'est des portions critiques ça laisse passer des bugs (chez debian ou chez NetBSD par exemple).

              Merci Captain Obvious! :p Concernant la sécurité je dirais que ça peut-être un avantage — mais au départ on parlait de portes dérobées et autres logiciels espions qui pourraient être intégrés à Windows sans que l'on ne le sache.

              Le truc c'est que tu ne peux pas renvoyer l'argument "ils ont accès aux sources" juste par un "comme s'ils avaient le temps". Car c'est exactement pareil pour du logiciel libre en réalité.

              Bah les logiciels libres ont leur code source public, donc les plus connus ont quand même beaucoup moins de chance d'avoir une «fonctionnalité» cachée.

              Écrit en Bépo selon l’orthographe de 1990

              • [^] # Re: Irlande ?

                Posté par  . Évalué à 10.

                Bah les logiciels libres ont leur code source public, donc les plus connus ont quand même beaucoup moins de chance d'avoir une «fonctionnalité» cachée.

                J'ai entendu dire qu'emacs cachait en son sein un éditeur de texte (probablement pas très commode à utiliser, ceci dit).

              • [^] # Re: Irlande ?

                Posté par  (site web personnel) . Évalué à 2.

                Merci Captain Obvious!

                Ben oui, c'est juste des contre-exemple. Comme quoi le fait que le logiciel ait les sources ouvertes n'est pas une garantie. Donc miser sur la sécurité parce que c'est open source est une erreur si tu compares avec un logiciel dont tu as accès aux sources (qui peut comme ici ne pas être libre du tout).
                Et je suppose que si la défense (mais aussi celle d'autres pays) a les sources c'est aussi pour en faire quelque chose. Et quand bien même, l'un des arguments de l'open source c'est qu'il est possible d'aller regarder, ce qui est en général un message suffisamment fort pour ne pas essayer d'entourlouper l'utilisateur. Ben là c'est pareil. Ce serait quand même un sacré risque de mettre une porte dérobée dans un soft dont les département défense de plusieurs pays (et des entreprises aussi je crois) ont les sources, peuvent l'étudier et le recompiler.

                • [^] # Re: Irlande ?

                  Posté par  . Évalué à 3.

                  J'ai eu comme client une boite qui faisait des logiciels pour la marine. Les dev avaient l'habitude d'y mettre des jeux comme fonctionnalité cachée.

                  • [^] # Re: Irlande ?

                    Posté par  . Évalué à 1. Dernière modification le 23 mai 2013 à 12:13.

                    Genre dans un sous-marin je les vois bien jouer à "touché-coulé" sur la console de lancement des têtes nucléaires en easter-egg le soir…

                    • [^] # Re: Irlande ?

                      Posté par  . Évalué à 3.

                      Eh les mecs, j'ai trouvé un cheat-code. Regardez je fais ctrl+H+* suivi de… merde il est planté.
                      C'est quoi ce bruit ?!

          • [^] # Re: Irlande ?

            Posté par  . Évalué à -1.

            Parce que tu crois qu'il n'y a que le department de la defense francais qui a acces aux sources ?

        • [^] # Re: Irlande ?

          Posté par  (site web personnel) . Évalué à 6.

          Comme s’il suffisait d’avoir des sources pour être sûr que l’on exécutera pas de logiciel avec porte dérobée. Il faut relire Reflections on Trusting Trust de Ken Thompson mes cocos : « _The moral is obvious. You can't trust code that you did not totally create yourself. (Especially code from companies that employ people like me.) No amount of source-level verification or scrutiny will protect you from using untrusted code._ », tout est dit.

          • [^] # Re: Irlande ?

            Posté par  . Évalué à 7.

            pour faire plus simple, et en français :
            c'est pas les sources qu'ils faut, c'est la maitrise des sources et de la chaine de compilation.

            Parce que rien ne prouve que les sources fournies correspondent aux binaires, ni que la chaine de compilation n'a pas été modifié pour rentrer une backdoor aussi.

            Et ça, désolé, mais le LL est quand même beaucoup plus adapté à ce genre de contraintes que windows.

            • [^] # Re: Irlande ?

              Posté par  . Évalué à 3.

              D'accord sur le fond mais je crois que ce que veut dire Ken Thompson, c'est qu'il est capable d'intégrer du code malveillant (backdoor ?) dans le code qu'il te livre, avec suffisamment de finesse pour que tu ne le voies pas à la relecture avant de le compiler toi-même.

              Ce qui peut se comprendre. S'il suffit d'un débordement de buffer bien placé pour passer root sur une machine, il est alors facile de proposer un système avec une faille volontaire qui passe inaperçue.

              C'est plus difficile de proposer un linux personnalisé avec une faille volontaire, puisque seuls les patches seraient à contrôler en priorité. Alors que des milliers ou millions de lignes de code Windows sans versionnement, c'est sans doute compliqué à auditer.

              • [^] # Re: Irlande ?

                Posté par  . Évalué à 6.

                C'est surtout que si le compilateur est bricolé pour modifier les sources au passage, il devient vraiment horriblement difficile de trouver la faille. C'est ce qu'a démontré Thompson avec sa preuve de concept lâchée dans la nature il y a presque 30 ans.

                C'est le problème avec Windows : même si tu peux compiler, cela n'est possible qu'avec le compilateur de Microsoft. Donc aucune garantie que le binaire généré soit conforme aux sources. Et pour compiler le compilateur, même chose.

                • [^] # Re: Irlande ?

                  Posté par  . Évalué à 0.

                  Le truc dans le monde reel est qu'en fait cette methode (le compilo qui modifie) n'a de valeur que pour des softs de petite taille.

                  Des que le projet attaint une taille consequente, tu n'as vraiment plus besoin de ce truc pour cacher une faille, suffit de la mettre dans le code comme etant un bug standard.

                  Bref, on resort cet exemple a chaque fois, et academiquement il est totalement correct, mais en pratique c'est en fait plutot inutile comme methode.

                  • [^] # Re: Irlande ?

                    Posté par  (site web personnel) . Évalué à 4. Dernière modification le 24 mai 2013 à 07:45.

                    Des que le projet attaint une taille consequente, tu n'as vraiment plus besoin de ce truc pour cacher une faille, suffit de la mettre dans le code comme etant un bug standard.

                    Tu as complètement raison, d'autant plus que certains artistes sont capables de placer des bugs volontaires et plausibles (le bug peut passer pour une erreur normale) dans du code de taille même très petite. C'est l'objet du Underhanded C Contest:

                    http://underhanded.xcott.com/

        • [^] # Re: Irlande ?

          Posté par  (site web personnel) . Évalué à 8.

          Ca fait des annees que la France a acces aux sources de Windows et peut les recompiler.

          L'armée arrive-t-elle à recompiler des binaires identiques à ceux initialement livrés ? (dit autrement, dispose-t-elle de l'intégralité du code source du système plus de la chaîne de compilation complète (je vois déjà ceux qui vont demander les sources de la chaîne de compilation pour la bootstraper) ?). Jusque-là, j'ai toujours lu que l'information disponible (même pour l'armée) était incomplète.

          • [^] # Re: Irlande ?

            Posté par  . Évalué à -1.

            Ils ont tout ce qu'il faut pour s'assurer que le binaire est le meme que le code source qu'ils lisent. Il y a pas que sur linuxfr que les gens connaissent le truc de Ken Thompson, ils sont au courant a l'armee aussi…

          • [^] # Re: Irlande ?

            Posté par  . Évalué à 7.

            Dans les fait, je me rappelle qu'un de nos services avait besoin des sources d'une version de Windows Media player mais Microsoft a des conditions tellement draconiennes pour permettre l'utilisation de ses sources que l'utilisation de ces sources reste très limitée :

            Microsoft ne fournit les sources et le support que sur ses derniers produits. Dans les faits, sur une grosse administration, il y a malheureusement toute les chances que votre probléme survienne sur un produit qui n'est plus vendu par Microsoft et qui se compile avec une version trop ancienne du compilateur que Microsoft ne vous fournira pas.

            Deuxièmement, vous aurez besoin de support et le code n'est souvent compréhensible qu'avec l'aide d'un expert, loué à prix d'or car , comme tout logiciel propriétaire, il n'y aucune communauté qui puisse vous aider à relire et comprendre le code. (A l'époque , un mélange de C et d'assembleur !!)

            De plus, à l'époque, la lecture du code devait juste permettre de comprendre le code pour permettre l'interopérabilité avec d'autres logiciels mais pas de le corriger pour le faire fonctionner avec ses propres besoins. (à la limite , découvrir un bug et le faire corriger par Microsoft)

            Avec de moins en moins de développeurs dans l'Administration, je ne pense pas que la fourniture du code source soit d'une grande utilité en ce qui concerne les logiciels propriétaires ce qui n'est pas le cas du code source des logiciels libres qui peut être manipulé par l'administration via des marchés publics ou des tiers de confiances et manipulé par des fonctionnaires éventuellement coatchés par des experts sélectionnés selon des critères choisis par l'Administration (et pas imposés par un quelconque éditeur)

  • # Soyons précis

    Posté par  (site web personnel) . Évalué à 4.

    Signalons toutefois que la directive Ayrault est bien postérieure au contrat passé par la défense (celui dénoncé par le Canard), contrairement à ce que la dépêche semble indiquer …

    • [^] # Re: Soyons précis

      Posté par  . Évalué à 9.

      oui mais non,

      le contrat arrive à echeance en 2013, et doit etre renouveler cette année.
      c'est bien pour ca que tout le monde se bouge.

  • # Les hopitaux en france

    Posté par  . Évalué à 3.

    Il se sont regroupés pour… Acheter du microsoft. Demandez le prix, vous serez surpris quand vous connaissez le nombre d'hôpitaux concernés en france! http://fournisseurs.uniha.org

  • # Une directive par définition n'est pas une loi...

    Posté par  . Évalué à -9.

    certains ministères n’ont cure des directives du Premier ministre, en particulier celui de la Défense

    Une directive, d'un premier ministre, par définition n'est pas une loi…
    Le ministère de la défense n'est pas tenu de s'y conformer [un minimum d'autonomie].
    De plus, la défense est un secteur particulier donc avec des lois particulières…
    Ce n'est pas un détail.

    Il est aussi assez surprenant de trouver en note de bas de page « reproduction du document à un tiers interdite » !

    Tout dépend d'où vient le document, mais si il vient du ministère de la défense ou de l'intérieur, il y a de grandes chances que ce soit confidentiel, et que cette phrase n'est qu'un rappel…
    [confidentiel = ne pas divulguer officiellement SVP]

    • [^] # Re: Une directive par définition n'est pas une loi...

      Posté par  . Évalué à 1.

      Il est aussi assez surprenant de trouver en note de bas de page « reproduction du document à un tiers interdite » !

      Tout dépend d'où vient le document, mais si il vient du ministère de la défense ou de l'intérieur, il y a de grandes chances que ce soit confidentiel, et que cette phrase n'est qu'un rappel…
      [confidentiel = ne pas divulguer officiellement SVP]

      Pourquoi divulguerais-t-on publiquement des documents top secret? C'est un non-sens!

      Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: Une directive par définition n'est pas une loi...

        Posté par  . Évalué à -10.

        Pourquoi divulguerais-t-on publiquement des documents top secret? C'est un non-sens!

        Par définition un document sur internet n'est pas top secret.
        Ce que je dis, c'est que la divulgation ne doit pas être illimitée.
        C'est ce qui est sous entendu par confidentiel…
        J'ai écrit : [confidentiel = ne pas divulguer officiellement SVP]

        NB: Légalement un appel d'offres doit être public, donc divulgué.
        Ce n'est pas un marché de gré à gré, donc cela reste public…
        But de l'appel d'offres :
        " Le but est de mettre plusieurs entreprises en concurrence pour fournir un produit ou un service. "

        • [^] # Re: Une directive par définition n'est pas une loi...

          Posté par  . Évalué à 2.

          Ce que je dis, c'est que la divulgation ne doit pas être illimitée.
          C'est ce qui est sous entendu par confidentiel…

          Confidentiel ça vient de confidence qui est la communication d'un secret, par opposition à officiel or c'est un document public.

          Officiel signifie «qui émane du gouvernement; qui est déclaré par lui». Donc ce document est officiel (donc pas confidentiel).

          On ne donne par n'importe quel sens aux mots… Je ne vois pas en quoi empêcher la diffusion par le biais d'une licence restrictive aurait une quelconque utilité pour un document officiel (ça serait même contreproductif).

          Écrit en Bépo selon l’orthographe de 1990

          • [^] # Re: Une directive par définition n'est pas une loi...

            Posté par  . Évalué à -10.

            confidence

            Par définition, ce qui vient de l'armée est confidentielle…
            Mais comme il s'agit d'un appel d'offre, ils sont obligés de le rendre public.
            Par exemple, il existe des appels d'offre restreints.
            Par définition ce n'est pas tout le monde qui peut y participer…

            Je ne sais pas ce qui se passe au sein de l'armée mais je doute que les militaires apprécient que l'on sache quel type d'équipement ils possèdent/achètent…
            [hardware, software, docs, etc.]

            Bref, MA définition de confidentielle signifie que l'on divulgue l'information tout en rappellant que cela ne doit pas tomber dans n'importe quelle main.
            J'ai donné MA définition, mais je n'ai jamais dit que c'est LA définition de ce mot…

            • [^] # Re: Une directive par définition n'est pas une loi...

              Posté par  . Évalué à 2.

              Bref, MA définition de confidentielle

              Tu soules un peu avec ta novlangue là. Le mot «confidentiel» a une signification précise et je ne vois pas de raison d’en redéfinir le sens sans raison (à moins que tu apportes des arguments). Tu voulais peut-être dire «gênant» ou «que l’on veut garder sous le tapis», mais en aucun cas ces documents ne peuvent être qualifier de confidentiel.

              signifie que l'on divulgue l'information tout en rappellant que cela ne doit pas tomber dans n'importe quelle main.

              Si une personne veut cette information, il la trouvera vu qu’elle est publique et facile d’accès (et c’est pas parce que c’est pas écrit en rouge gras surligné en vert fluo souligné italique en page d’accueil de Facebook que personne ne les trouveront, justement ceux qui veulent ces documents et qui pourraient être gênant les auront de toute façon).

              Écrit en Bépo selon l’orthographe de 1990

          • [^] # Re: Une directive par définition n'est pas une loi...

            Posté par  . Évalué à 2.

            donc un document classifié (confidentiel defense par exemple) par le gouvernement n'est pas un document officiel ?

            Donc un document classifié en réalité n'a aucune valeur parce que d'après toi il n'est pas issu du gouvernement.

            Cool.

            Mais ca explique pas pourquoi tu risque 7 ans d'emprisonnement si tu divulgue un document classifié si après tout ils ne sont pas issu du gouvernement.
            http://fr.wikipedia.org/wiki/Confidentiel_d%C3%A9fense#Mise_en_.C5.93uvre_de_la_protection_des_informations

            • [^] # Re: Une directive par définition n'est pas une loi...

              Posté par  . Évalué à 1.

              J’ai pris la définition du Wiktionnaire mais ça me parait tout à fait cohérent, c’est juste qu’un document n’est confidentiel n’est pas officiel dans le sens où il n’a pas été publié ou pas par le gouvernement (auquel cas il n’émane pas du gouvernement, cf. définition).

              Écrit en Bépo selon l’orthographe de 1990

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.