Comme le prochain Noël n’arrivera pas avant encore 300 jours, la saison des cadeaux est enfin derrière nous. Mais c’est le moment de se demander si ce qui a l’air gratuit l’est vraiment. Les logiciels, même quand ils sont indiqués comme « open source » ou « libres », ne sont pas forcément utilisables sans frais. C’est la même chose pour les photos « trouvées » via un moteur de recherche : elles peuvent tout à fait être sujettes à des frais de licence et à des droits d’auteur. Le délégué à la sécurité informatique du CERN continue de recevoir, de la part d’entreprises, des invitations répétées à « régulariser » notre situation en la matière. En même temps, dans l’environnement de recherche du CERN, les conditions de licence ont tendance à devenir de véritables thèses de doctorat. Regardons de plus près.

Les conditions de licence sont complexes (trop, à mon avis), mais c’est peut-être fait exprès : d’une part, c’est de l’argent facile pour le détenteur de la licence, et d’autre part, l’utilisateur, ne sachant pas vraiment si le logiciel est gratuit ou non, est assailli par le doute, si bien que, craignant d’avoir commis une atteinte aux droits de propriété intellectuelle, il finit par payer. De plus, les conditions font intervenir de nombreux critères : usage professionnel ou personnel ; utilisation par un individu, une équipe ou un collectif ; utilisation au CERN, sur un appareil du CERN ou avec une adresse électronique du CERN. Essayons de mettre un peu d’ordre dans tout cela.

Usage professionnel ou personnel : c’est le critère le plus simple. Dans de nombreuses conditions d’utilisation, on parle d’« usage personnel » quand le logiciel est utilisé exclusivement à des fins personnelles et jamais à des fins professionnelles. Par exemple, utiliser « TeamViewer » pour se connecter à distance à l’ordinateur de votre grand-mère ne pose pas de problème, mais si vous l’utilisez sur votre ordinateur personnel depuis chez vous pour vous connecter à votre PC du CERN, ce n’est plus considéré comme un usage personnel, même si cette connexion visait uniquement à éditer des photos de voyage. C’est la même chose pour les logiciels utilisés pour éditer ces photos, si vous le faites sur un PC du CERN. Dès qu’un appareil du CERN (ou de votre employeur) est concerné, l’usage n’est plus considéré comme personnel.

Taille de l’équipe : certains logiciels, comme « Slack », proposent une version gratuite et une version professionnelle destinée aux petites équipes. Qu’entendent-ils par « petite » et par « équipe » ? Ils ne le disent pas vraiment. L’équipe de Sécurité informatique, composée de huit personnes formidables (qui utilisent d’ailleurs Mattermost), est petite, comme beaucoup d’autres équipes du CERN. Mais si vous incluez dans votre réseau des membres de différents services de l’Organisation, vous n’avez plus une petite équipe, mais une grande équipe. Et les conditions de licence changent du tout au tout.

Localisation : vient enfin le critère de la localisation. Les conditions indiquent parfois qu’un logiciel ne peut être utilisé qu’au CERN. C’est-à-dire ? Sur un appareil connecté au réseau du CERN avec une adresse IP émanant du CERN ? Qu’en est-il des serveurs du CERN qui font fonctionner ce logiciel ? Et si je me connecte à distance à un PC installé dans mon bureau du CERN, est-ce que le logiciel est utilisé au CERN ou en dehors, vu qu’il s’affiche sur un appareil situé hors du domaine ? Et si le logiciel est installé sur un appareil appartenant au CERN mais connecté à un réseau extérieur ? Est-ce que je peux utiliser ce logiciel sur mon ordinateur portable du CERN depuis chez moi ? Ou à l’aéroport, pendant que j’attends l’embarquement ? Est-ce que l’aéroport est censé payer la licence pour moi (ce qu’il ne fera pas) ? Ou bien est-ce à mon fournisseur d’accès à Internet de le faire ? Peu de conditions de licence sont parfaitement claires sur ces aspects.

Il y a également eu des cas où quelqu’un avait souscrit à un logiciel « gratuit » via une adresse électronique du CERN. Quelles sont les conséquences ? Le CERN peut-il être tenu responsable ? Google peut-il être tenu responsable si je m’enregistre avec une adresse @gmail ? Vous voyez où je veux en venir.

En ce qui concerne le CERN, le département IT joue le rôle de fournisseur d’accès pour la communauté, mettant à disposition une connectivité réseau, des grappes de serveurs (virtualisées), des bases de données et des espaces de stockage. Le CERN propose également de nombreux services IT et des applications assorties des licences correspondantes (par exemple pour Windows, Linux,  macOS et différents systèmes de contrôle). La plupart de ces services et de ces applications ont l’avantage d’être gratuits. D’autres demandent une participation à leurs frais. D’autres services et logiciels peuvent être achetés, via une demande d’achat interne (DAI) sur EDH, sous réserve de l’autorisation des responsables des licences de logiciels ou de services en nuage du CERN, du comité de gouvernance web, du Comité sur l’ingénierie de l’électronique (ELEC) ou du Comité sur l'ingénierie assistée par ordinateur (CAEC) ; cette procédure d’autorisation a pour objectif d’éviter une cacophonie entre des solutions similaires et d’éviter aussi de dépenser de l’argent pour des logiciels ayant déjà été acquis de manière centralisée.

En conclusion, avant d’utiliser un service en nuage, un logiciel ou une application, vérifiez ses conditions de licence. La même question se pose pour tout logiciel acheté via l’organisme ou l’université dont vous dépendez, ou bien par vous-mêmes : peut-on l’utiliser (gratuitement) à des fins professionnelles au CERN ? En cas de doute, n’hésitez pas à vérifier avec les responsables des licences de logiciels ou de services en nuage du CERN. Car, bien souvent, ce qui est gratuit peut finir par coûter cher...

_______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.