{"id":69,"date":"2012-06-22T20:03:00","date_gmt":"2012-06-22T20:03:00","guid":{"rendered":"http:\/\/hoper.dnsalias.net\/atdc\/index.php\/2012\/06\/22\/20120622tas-de-cons\/"},"modified":"2017-05-30T14:58:13","modified_gmt":"2017-05-30T12:58:13","slug":"20120622tas-de-cons","status":"publish","type":"post","link":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/2012\/06\/22\/20120622tas-de-cons\/","title":{"rendered":"Tas de cons"},"content":{"rendered":"
\n

Plusieurs lecteurs se sont d\u00e9j\u00e0 demand\u00e9s d\u2019o\u00f9 venait le nom de ce blog. Et bien historiquement (la DADVSI \u00e9tait alors en pr\u00e9paration…), c’est bien \u00ab\u00a0tas de cons\u00a0\u00bb que TDC \u00e9tait cens\u00e9 signifier. Je ne l’avais encore jamais utilis\u00e9 directement, mais ce soir je crois que le moment est plut\u00f4t bien choisit.<\/p>\n

Cette semaine, Num\u00e9rama<\/a> avait publi\u00e9 un article et surtout un document<\/a> accablant De quoi s’agit il\u00a0? Ce document, que vous pouvez aussi plus simplement visualiser ici<\/a>, contient les sp\u00e9cifications techniques d\u00e9taill\u00e9es et les r\u00e9ponses apport\u00e9s par ATOS \u00e0 propos des mesures de s\u00e9curit\u00e9 des serveurs utilis\u00e9s pour le vote \u00e9lectronique. (pour les fran\u00e7ais habitants \u00e0 l’\u00e9tranger dans un premier temps, et bien sur pour notre gueule dans un second).<\/p>\n

Le vote \u00e9lectronique… Cette merveilleuse invention<\/a> qui doit probablement donner envie de vomir \u00e0 tous les informaticiens de la plan\u00e8te. (Quand je dis \u00ab\u00a0informaticien, je pense bien sur aux gens qui comprennent un minimum comment fonctionne un ordinateur. Je pr\u00e9f\u00e8re pr\u00e9ciser parce que… bref). Il y a des choses comme, au hasard, le pilotage de navette spatiale, la s\u00e9curit\u00e9 des centrales nucl\u00e9aire, ou donc le vote \u00e9lectronique, ou on pourrait esp\u00e9rer qu’un minimum d’efforts soient fait en terme de s\u00e9curit\u00e9 non\u00a0?<\/p>\n

Et bien ce document prouve que c’est pr\u00e9cis\u00e9ment tout le contraire. Atos \u00e0 fait exactement tout ce qu’il ne faut pas faire, \u00e0 commencer bien sur par s’en tenir \u00e0 cette vieille croyance idiote que c’est en gardant un truc secret qu’on le prot\u00e8ge. Allo les gens\u00a0? On est en 2012\u00a0! Les logiciels libres, avec un code source OUVERT ET VISIBLE DE TOUS, sont infiniment plus s\u00e9curis\u00e9s<\/a> que les conneries propri\u00e9taires. Allez, je copie une ligne pour \u00e9viter aux plus feignants de tout lire\u00a0: \u00ab\u00a0Scientific research<\/a> has proven the open source model to be more effective in removing bugs from software, even when the quality of the programmers is lower than in a closed system. The research \u00ab\u00a0shows that closed-source projects are always slower to converge to a bug-free state than bazaar open-source projects.\u00a0\u00bb. Si vous arrivez toujours pas \u00e0 comprendre \u00e7a, suicidez vous, au moins changez de m\u00e9tier.<\/p>\n

Bon, \u00e7a c’est un bon rappel, mais ce n’est pas ce qui m’a fait sauter au plafond en lisant ce bidule \u00ab\u00a0strictement confidentiel\u00a0\u00bb. Parce qu’il y a quand m\u00eame du lourd dedans. On y apprend par exemple que les serveurs utilisent une ancienne version de Redhat (arg…). Que non, il n’est pas question de mettre \u00e0 jour la version d’openssl parce que, je cite, \u00ab\u00a0Le changement de version de librairie n\u00e9cessiterai la recompilation de nombreux composants\u00a0\u00bb. Gasp. Et le reste de l’OS\u00a0? Pareil. Ce sera pas \u00e0 jour. Pensez vous.. Une boite de cette taille, \u00e7a s’amuse pas \u00e0 faire des mises \u00e0 jour tous les quatre matins hein… Il faut que tout soit \u00ab\u00a0industrialis\u00e9\u00a0\u00bb, homog\u00e8ne, automatique et … compl\u00e8tement d\u00e9pass\u00e9. Ce document nous apprend \u00e9galement qu’aucune des recommandations des organisme de s\u00e9curit\u00e9 (SANS<\/a>, NIST<\/a>, SNAC<\/a>…) ne seront appliqu\u00e9s. Les proc\u00e9dures internes \u00ab\u00a0standard\u00a0\u00bb seront bien suffisante. Et comment en douter un seul instant, quand on lis un peu plus bas que des sauvegardes seront faites via… TFTP<\/a>\u00a0!<\/p>\n

La seule chose qui tourne en boucle dans mon cerveau depuis une demi heure c’est.. TAS DE CONS.<\/p>\n

Et j\u2019inclus dans ce tas tout ceux qui, malgr\u00e9 les explications qu’on leur donne, continuent de penser que le vote \u00e9lectronique est une bonne id\u00e9e. Je ne dis pas que c’est totalement in-envisageable \u00e0 long terme. Je ne dis pas que le num\u00e9rique est forc\u00e9ment l’ennemi de la d\u00e9mocratie. Mais pour que l’informatique puisse rendre service \u00e0 l’humanit\u00e9 dans ce domaine (d\u00e9mocratie liquide<\/a>…), il faudrait au minium\u00a0:<\/p>\n