Le blogue techno

Le blogue techno - Auteur
  • Jean-François Codère

    Journaliste spécialisé en technologies depuis 1999, je traite ici de Web, d’appareils mobiles, de jeux et d’autres gadgets, tantôt sous un angle «affaires», tantôt sous un angle «consommateur».
  • Lire la suite »

    Partage

    Vendredi 25 avril 2014 | Mise en ligne à 17h58 | Commenter Commentaires (19)

    Heartbleed: les géants du Web en appui aux amateurs

    Il aura fallu l’importante faille de sécurité Heartbleed pour exposer et corriger une grande vulnérabilité de l’Internet. Douze géants du Web ont promis jeudi d’appuyer financièrement le développement de composantes importantes du Web jusque-là uniquement entretenues par dévoués amateurs comme Geoffrey Thorpe, de Québec.

    Heartbleed n’aura pas exposé que des millions de renseignements personnels à travers le monde. Elle aura aussi mis en lumière la précarité de certaines colonnes de l’Internet. OpenSSL, le logiciel en faute, était développé par des amateurs dispersés un peu partout dans le monde et disposant de contributions totalisant environ 2000$ par année, selon la Fondation Linux.

    Pour corriger la situation, les multinationales de l’Internet Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace et VMware ont promis de verser 100 000$ par année chacune lors des trois prochaines années à la Fondation Linux.

    Mise sur pied en 2007, cette fondation a pour but de fournir un appui financier stable à des éléments clés du développement de la plateforme Linux, notamment le fondateur Linus Torvalds. Elle remplira maintenant un rôle similaire auprès d’autres projets développés selon les principes du logiciel libre et jugés tout aussi importants pour la solidité des fondations de l’Internet.

    Temps personnel

    Une telle implication devrait faire une bonne différence, estime Geoffrey Thorpe. Installé à Québec, M. Thorpe est l’un des braves qui s’impliquent depuis plusieurs années dans le développement d’OpenSSL.

    Son parcours un typique de celui des volontaires qui soutiennent les projets de ce genre. L’aventure a commencé par un emploi dans une entreprise impliquée, il y a quelques années. Célibataire, il avait de longues heures à y consacrer à l’extérieur du travail.

    Quelques changements d’emplois, une femme et des enfants plus tard, le temps se fait beaucoup plus rare, est-il forcé de constater.

    « Ce que je constate depuis un certain temps, les efforts que nous avons à consacrer au projet, ce sont les efforts que nous trouvons le temps de mettre. »

    La formule, constate-t-il, a eu un impact positif important sur le développement de Linux.

    OpenSSL, de son côté, « est l’un de ces projets qui n’ont peut-être pas reçu toute l’attention qu’ils auraient dû recevoir ».

    M. Thorpe reste toutefois prudent.

    « Ça a dû être un effort monumental pour en arriver à cette annonce. Quand il y a des comptables et des avocats d’impliqués, c’est difficile d’aller vite. Je vais attendre que la poussière retombe pour voir ce que cela signifie concrètement. »


    • Le terme « amateur » peut sonner péjoratif. Plusieurs des bénévoles qui travaillent à créer des logiciels libres sont des programmeurs professionnel de haut calibre qui font le développement desdits logiciels en plus de leur emploi usuel. Ceci dit, savoir que de grosses corporations vont enfin verser de l’argent à la fondation Linux maintenant alors que ça fait des lustres qu’ils se servent de logiciels libres dans leurs opérations est certes une bonne nouvelle, mais ça illustre bien leur cupidité pathétique aussi — ils ne le font que parce que ça a menacé leurs intérêts.

      Je sais bien que le terme a une certaine connotation, mais c’est le vrai mot et je n’en ai pas trouvé de meilleur. Je suis preneur pour les suggestions.

    • Certains ont vu une faille dans le modèle de développement de logiciels ouverts (Open Source) et libres (Free Software). Notez ici que libres veut dire libres de droits et non gratuits dans le sens anglais de Free.

      Bref, ce n’est pas le modèle qui est le problème. Ce sont les utilisateurs. Comment explique que Revenu Canada utilise OpenSSL sur ses sites et ne verse pas une cenne noire à OpenSSL? Comment expliquer que tous ceux qui ont une distribution commerciale de Linux à cause du support ne voient pas une partie significative de ce qu’ils paient aller vers OpenSSL? Et je dis OpenSSL, mais ça pourrait être Apache ou une autre composante logicielle.

      Le principe du libre, c’est que les droits appartiennent à la communauté, mais en échange la communauté contribue. Que ce soit financièrement, comme ça devrait l’être pour Revenu Canada ou en payant des développeurs qui travaillent sur les composantes de logicielles utilisées, que ce soit en contribuant avec du code, de la documentation, le rapport de bogues ou autres formes de contribution.

      C’est pourquoi ceux qui pensent que la ville de Montréal doit adopter le libre uniquement parce que c’est gratuit se gourrent totalement. Si la ville de Montréal adopte le libre, il faudra que les gens responsables sachent que la ville de Montréal se doit alors de contribuer au libre et que la différence entre la facture des logiciels commerciaux et le libre ne devrait pas être la différence entre la facture et le montant zéro.

      Et il est tout à fait justifiable et justifié que la ville de Montréal paie un certain montant en salaires, développement, contribution directe à des initiatives libres en échange du logiciel plutôt que d’acheter des copies commerciales de Windows ou autres logiciels. L’argent de la ville de Montréal provient de la communauté via les taxes et contribuer au libre c’est retourner une partie de ces taxes sous forme de contribution logicielle.

      Le modèle n’est pas le problème, la cupidité de certains gros utilisateurs qui font de l’argent avec le libre ou en épargne est en cause.

    • @inxistant,

      exact, d’ailleurs celui qui est responsable du bogue Heartbleed est un Ph.D. en sécurité. OpenSSL a la contribution de plusieurs autres experts de la sécurité. Malheureusement le bogue était relativement simple et ça n’a rien à voir avec toute la complexité de ce morceau de logiciel. Beaucoup plus complexe que certains l’imaginent. Il existe des façons vraiment tordues et inusitées de cracker du code de sécurité. Dans ce cas-ci, c’est une erreur simple qui a produit le bogue.

    • «Pour corriger la situation, les multinationales de l’Internet (…) ont promis de verser 100 000$ par année chacune lors des trois prochaines années à la Fondation Linux.»
      Il aura enfin fallu cette grande frousse pour pousser les géants des TIC à financer minimalement le développement de ces logiciels indispensables dont ils profitent tous à peu de frais depuis si longtemps. Mais 100 000$ par entreprise par année, ça demeure encore une somme bien modeste compte tenu de leurs moyens. Et la liste des multinationales qui pourraient contribuer à ce financement me semble encore bien incomplète. Où sont donc les Apple, Facebook, Hewlett Packard ou Red Hat, par exemple? Et, plus localement, pourquoi pas Bell ou Vidéotron?

    • @ Jean-François Codère
      «Je sais bien que le terme a une certaine connotation, mais c’est le vrai mot et je n’en ai pas trouvé de meilleur. Je suis preneur pour les suggestions.»

      Pourquoi pas «programmeurs bénévoles» à la place?

    • Suggestion pour une prochaine chronique:
      La découverte d’oeuvres numériques oubliées d’Andy Warhol
      http://www.lemonde.fr/culture/article/2014/04/25/des-uvres-numeriques-d-andy-wahrol-exhumees-trente-apres_4407235_3246.html

    • LOL , si je peut faire ma donnation annuelle de 250$ a la fondation (pour dire merci a tout ce soft libre que j’utilise ) ces entreprises ne font aps un gros effort ,

      T.Bombal

    • @dcsavard

      Je ne suis pas d’accord de mettre automatiquement le blâme sur les utilisateurs.
      Les distributions commerciales de Linux coutent aussi de l’argent, au même titre que Windows.
      RHEL par exemple peut couter entre 500$ et 2000$ par année.

      De ce montant, combien est réinvestie à la communauté par Red Hat autre que le ‘patchage’ de ses distribution? Il faudrait aussi peut être regarder du coté des distributeurs (Red Hat, Canonical, etc) avant de cracher sur les ‘compagnies qui cherchent à payer le moins cher’.

      Par contre, si ces organisations se contente d’Ubuntu ou de Fedora comme ‘Serveur’, alors l’odieux de s’être fait piraté retombe sur eux.

      @ Jean-François Codère
      Je supporte le terme ‘programmeurs bénévoles’ et non amateur.
      Est-ce qu’un ancien professionnel de la LNH qui va coacher l’équipe jeunesse locale de hockey devient un ‘entraineur amateur’ de hockey ou un entraineur bénévole?

      P Busque.

    • @pbusque,

      si vous relisez ce que j’ai écrit, j’ai mentionné ceux qui tirent un revenu et ne versent rien à OpenSSL, par exemple, et ça visait RedHat, Ubuntu et les autres.

    • @pbusque

      c’est pour ca que bien des companies dumpent RHLE pour CentOS ou autre distro , c’est nous sur ~4000 serveur RH on en a a peut pres 20% qui on passe a cent , debian aussi prend du poid en entreprise , mais j’insiste pour que mon employeur fasse une contribution ou alors je lui dit de s’acheter des licenses windows

      T. Bombal

    • Dans un autre ordre d’idée, la fin de la loi de Moore est à nos portes.

      Moore’s Law and the Sand-Heap Paradox http://cacm.acm.org/magazines/2014/5/174359-moores-law-and-the-sand-heap-paradox/fulltext#comments

      D’ici 5 à 10 ans, il n’y aura plus guère d’augmentation de performance des microprocesseurs. Les cycles de remplacement des équipments qui étaient fortement influencés par les bonds important dans la performance et une baisse de coûts risquent de devenir très longs et l’innovation devra surtout se faire du côté des algorithmes.

    • @ re33 (T.Bombal) 16h58
      Plus de 4000 serveurs, vous dites? Votre entreprise oeuvre dans quel domaine? Stockage de données ou calcul parallèle? Et pourquoi n’augmentent-ils pas la proportion de clones RHEL sur ces serveur? La gratuité de ces logiciels ne leur inspire pas assez confiance? Maintenant que le projet CentOS vient d’être absorbé par Red Hat, cela devrait possiblement faciliter les choses sur ce plan. Sinon, il resterait toujours Scientific Linux. Développé par le Fermilab et le CERN, ce clone RHEL de haute qualité est réputé pour sa sécurité.
      http://lists.centos.org/pipermail/centos-announce/2014-January/020100.html

    • @dcsavard
      La loi de Moore a été atteinte au niveau de la fréquence.
      Par contre, les processeurs deviennent de plus en plus puissant en ajoutant des cœurs.
      Un serveur ESX avec 24 cœurs, c’est quand même une croissance de la puissance de calcul.

      @A.Talon
      S’il travaille pour un compagnie assez grosse et touchant un marché mondial, le peut comprendre. Je crois que notre compagnie dois en avoir au moins 1000 (serveur web, serveur applicatifs, serveur BD, tous dédoublé sur des centre de données différent, pour 4 environnement de développement. Le nombre de machines virtuelles peut facilement grimper. Et tous du RHEL. Nous avions hérité d’un parc de serveur, tous des Ubuntu, que nous nous somme empressé à convertir vers RHEL. Et nous nous assurons que notre abonnement avec Red Hat soit bien en règle pour les garder à jour.

    • @ dcsavard 26 avril 17h59

      «D’ici 5 à 10 ans, il n’y aura plus guère d’augmentation de performance des microprocesseurs.»
      Cela n’annonce pas la fin de l’industrie informatique pour autant. Juste qu’une nouvelle dynamique de développement devra remplacer l’ancienne. Des manières de penser et des façons de faire qui devront changer. Si, par exemple, on ne peut plus densifier un micro-circuit, rien n’empêche d’en multiplier le nombre sur une même puce (le mouvement est déjà commencé). On peut aussi jouer sur les matériaux; on parlait du germanium il y a déjà trente ans. Et ce nouveau contexte devrait stimuler les recherche en informatique quantique…

      «…et l’innovation devra surtout se faire du côté des algorithmes.»
      Il y a place pour énormément d’améliorations de ce côté. Quant on sait que le moindre petit éditeur de texte occupe une bonne dizaine de megs (pas nécessairement du code, il est vrai). Les programmeurs ont perdu depuis longtemps l’habitude d’écrire du code compact et efficace. C’est un art qu’il va falloir redécouvrir et les outils de développement devront être adaptés en conséquence. Par ailleurs, lors de la course à l’espace, on disait que les Soviétiques devaient compenser le manque de puissance de leurs ordinateurs en utilisant des algorithmes et des constructions mathématiques nettement plus élaborées que celles utilisées par les Américains pour arriver sensiblement au même résultat. Bel avenir en perspective pour les mathématiciens.

    • Peut-être que “bénévole” est plus approprié que “amateur”, mais il y a des contextes ou le mot amateur n’est pas péjoratif. Par exemple, les athlètes aux jeux olympiques, puisqu’ils ne sont pas directement rénuméré pour leur participation aux olympiques.

    • @pbusque,

      vous devriez relire l’article plus attentivement. L’ajout de coeur ne correspond pas à la loi de Moore qui concerne la densité de transistors laquelle a pratiquement atteint sa limite. Une fois la limite atteinte, vous ne pouvez ajouter des coeurs sans augmenter la taille des chips.

      De plus, ajouter des coeurs si ce n’est accompagné d’une modification et de la découvertes d’algorithmes capables d’exploiter plusieurs coeurs (parallélisme), ne permet pas d’augmenter la performance. C’est en gros ce que dit l’article.

    • @A.Talon,

      j’en ai assez de devoir toujours rectifier ce que vous me faites dire et que je n’ai pas dit. Où aies-je dit qu’il s’agissait de la fin de l’industrie informatique?

      Toute discussion avec vous est futile et inutile. Vous reprenez ce que l’on dit comme vous l’entendez et vous y allez d’une longue diatribe sans aucun rapport et il faudrait repréciser à chaque fois? Non, je ne crois pas que ça vaille la peine et l’effort de continuer une discussion avec vous. Désolé.

    • @ dcsavard 19h07
      Si vous avez publié ce commentaire, c’est pour qu’il soit commenté à son tour. Essentiellement, j’ai développé un peu sur les conséquences industrielles de la fin de la loi de Moore puis j’ai approuvé vos conclusions concernant l’optimisation des algorithmes dans ce contexte. Autrement dit: j’étais d’accord avec vous. Donc, je n’étais PAS contre vous. Vous avez besoin d’aide.

    • @A.Talon,

      de toute évidence vous n’avez pas lu l’article mis en référence avant de commencer à commenter. Et vous commencez votre commentaire par: «Cela n’annonce pas la fin de l’industrie informatique pour autant.»

      Désolé, mais ce n’est pas ce que j’ai dit non plus. Alors, vous partez votre diatribe en m’attribuant des propos que je n’ai pas eu. Pour ensuite discuter du germanium, avenue discutée dans l’article. Mettre plusieurs processeurs sur une même puce ne change rien, voir mon commentaire à bpusque à ce sujet. Et ainsi de suite.

      Désolé mon gars, mais je ne me donne plus la peine de vous lire. J’ai autre chose à faire.

    Vous désirez commenter cet article?   Ouvrez une session  |  Inscrivez-vous

    publicité

  • Twitter

  • Catégories

  • Blogues sur lapresse

    publicité

  • Calendrier

    juin 2013
    D L Ma Me J V S
    « mai   juil »
     1
    2345678
    9101112131415
    16171819202122
    23242526272829
    30  
  • Archives

  • publicité