View in

Sécurité informatique : quand « gratuit » veut en fait dire « plus restreint »

23 janvier, 2019

Dans une précédente édition du Bulletin, nous évoquions le problème des logiciels libres et expliquions pourquoi le mot « libre » ne signifie pas nécessairement « gratuit » et dans quelle mesure, dans le cadre du CERN, des logiciels « libres » ne doivent pas être utilisés dans un but professionnel ou éducatif. Nous souhaitons maintenant vous montrer en quoi l’utilisation d’un logiciel « free » peut conduire dans certains cas à des conséquences encore plus désastreuses.

Tout d'abord, des licences dites « free » peuvent en réalité être destinées « à un usage personnel uniquement ». Cela ne signifie pas qu'il s'agit de licences monopostes et que vous pouvez installer le logiciel à titre individuel dans un contexte professionnel ; cela signifie en fait que vous pouvez l'installer chez vous pour un usage entièrement privé, sans lien avec votre profession, votre travail ou l'activité pour laquelle vous percevez une rémunération. Tout au plus, cela peut vous autoriser à le tester à titre professionnel pendant une courte période d'évaluation, ou simplement à vous faire une idée de son fonctionnement. Il convient dans ce cas aussi de faire preuve de prudence, cette période d'essai n'étant pas censée durer éternellement.

D'autres licences « free » peuvent autoriser une utilisation professionnelle du logiciel, par exemple par de petites équipes. Formidable, vous me direz, mais il y a un hic : le CERN est une grande organisation, comprenant diverses entités. Vous pensez que le logiciel a été installé seulement pour votre petite équipe au CERN, mais il se peut très bien que d'autres équipes du CERN aient aussi envisagé de l'installer (et l'aient d’ailleurs déjà fait !). Ainsi, le fournisseur pourrait enregistrer des utilisations supplémentaires du logiciel pour le CERN et conclure que le Laboratoire, dans son ensemble, contrevient aux conditions de la licence. Et certains fournisseurs nous ont déjà bel et bien signalé ce type de situation, et ont incité le CERN à s'abonner à l'un de leurs packs de licences professionnelles. Êtes-vous prêts à payer pour ces licences ?

Enfin, il y a le cas des « licences éducatives » destinées aux universités et réservées en principe à une utilisation dans le cadre d’un cours en classe. Le CERN est un institut de recherche, et, à ce titre, peut être considéré dans une certaine mesure comme relevant du monde universitaire. Comme cela figure sur son site web, le CERN a en effet pour mission de « […] mener des recherches à la pointe de la connaissance humaine, […] mener des recherches de calibre mondial en physique fondamentale [et] rassembler des personnes du monde entier dans le but de repousser les limites de la science et de la technologie, dans l'intérêt de tous » - une activité fondamentalement académique. En témoignent les conférences que nous donnons aux étudiants, les certificats ou diplômes délivrés dans le cadre de l'École du CERN sur les accélérateurs ou de l'École informatique du CERN, qui peuvent même conduire à des crédits ECTS (système européen de transfert et d'accumulation de crédits), le programme du CERN pour les enseignants du secondaire, ou encore le concours Ligne de faisceau pour les écoles, parmi de nombreux exemples. Cela étant, notre environnement académique, nos travaux de recherche fondamentale, nos conférences et séminaires et nos certificats et diplômes peuvent ne pas constituer des conditions suffisantes pour que le CERN puisse prétendre à l’obtention d’une licence éducative.

Pire encore, et c'est là l’objet de cet article, les conditions de licence évoluent. Ce qui était permis avec la version 1.2.3 peut ne plus l’être avec la version 1.2.4. Les critères à remplir ne sont plus les mêmes. Les modalités ne sont plus les mêmes. Le champ d'application n'est plus le même. Se rendre compte de tout cela peut être extrêmement contraignant, dans la mesure où les fournisseurs de logiciels ne signalent pas forcément directement au client les modifications de leurs conditions de licence. Une licence « free » qui était initialement valide peut finalement devenir une charge pour le CERN... Alors, ne mettez pas l'Organisation en danger ! Vérifiez attentivement les conditions de licence et lisez tous les détails - pas seulement pour une première utilisation du logiciel, mais aussi pour une mise à niveau. En cas de doute, vous pouvez contacter le responsable des licences de logiciels du CERN ou le Service des achats du CERN. Pour plus de sécurité, consultez le catalogue complet des logiciels fournis par le CERN, disponible sur CMF pour les PC Windows, LXSOFT pour les systèmes Linux ou le Mac Self-Service pour les systèmes Apple. Des licences spéciales sont également disponibles pour des progiciels d'ingénierie et des logiciels de contrôle. Pour consulter la liste des licences acquises de manière centrale, rendez-vous sur la page : https://slma.cern.ch/slma.

________

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.