Sécurité informatique : Paywalls Freemium | CERN

Dans un environnement universitaire ouvert, l’utilisation de logiciels et d’outils commerciaux gratuits (“freemium”) et open source (“FOSS”) n’est pas inhabituelle. En fait, de nombreux chercheurs, développeurs de logiciels et étudiants adoptent le concept de téléchargements gratuits sur Internet. Cependant, alors que nous avons discuté dans le passé du risque pour la chaîne d’approvisionnement des logiciels de télécharger, copier/coller et incorporer aveuglément tout type de logiciel tiers, nous devons maintenant considérer le mot “gratuit” – “gratuit” comme dans “gratuit”. . » discours », et non « gratuit » comme dans « bière gratuite » – et ses limites.

En fait, de nombreux logiciels sont fournis gratuitement au CERN, et pas seulement FOSS. Mais qu’est-ce qu’ils veulent vraiment dire quand ils disent “gratuit” ? De nombreux fournisseurs de logiciels proposent un programme de téléchargement et d’utilisation gratuit pour promouvoir leur produit, attirer davantage d’utilisateurs et augmenter leur part de marché. Le diable, comme d’habitude, se cache dans les détails, à savoir les conditions de licence. Les conditions de licence* peuvent stipuler qu’un tel téléchargement n’est gratuit que pour un usage personnel, pour de petites équipes, pour des universités ou des organisations à but non lucratif, ou autre chose – et la programmation pour le CERN peut ou non tomber dans ces catégories. En effet, la lecture des contrats de licence nécessite une réflexion philosophique poussée : qu’est-ce que la recherche, au fait ? Une activité qui débouche sur de la littérature publiée dans des revues académiques, une activité exercée par une personne titulaire d’un doctorat, une activité uniquement interne au CERN (excluant même la possibilité de collaboration avec des universités) ? Croyez-nous, nous avons vu toutes les écoles de pensée. Autant dire que préciser comment le statut du CERN doit être interprété dans le contexte de chaque accord de licence et dans quelle mesure nous sommes réellement autorisés à utiliser des licences dites “libres” est un exercice très délicat.

Paywall #1 : Au-delà de l’usage personnel. Teamviewer propose un téléchargement “gratuit pour un usage privé”. Ceci exclut évidemment toute utilisation professionnelle, y compris toute utilisation au CERN ou connecté au réseau du CERN. Comme stipulé dans leur base de connaissances, l’utilisation professionnelle ou “commerciale” s’applique lorsque vous apportez une assistance à des collègues, lorsque vous vous connectez à distance depuis votre domicile à votre organisation, à des fins de maintenance et d’assistance à distance, et également pour les organisations à but non lucratif, si vous ou un autre personne dans l’organisation reçoit un salaire de cette organisation.

Paywall #2 : Vous++. Slack permet aux “petites” équipes d’utiliser son service gratuitement mais, si vous intégrez cela dans tout le CERN, “petit” devient “grand”. Il n’est probablement pas surprenant que Slack ait approché le CERN à plusieurs reprises en suggérant que nous pourrions acheter une licence pour couvrir l’utilisation “à grande échelle” de l’Organisation. Alors posez-vous la question suivante : lorsque vous utilisez votre adresse e-mail CERN pour vous inscrire à Slack, êtes-vous également prêt à fournir un code budgétaire pour contribuer à cette licence ?

Paywall #3 : Pas le menu complet. Anaconda, une plate-forme Python, propose des téléchargements gratuits de “milliers de packages et de bibliothèques open source” pour “les étudiants, les universitaires et les amateurs”. Bien que “universitaires” semble certainement s’appliquer à l’environnement de recherche du CERN, le téléchargement s’accompagne de limitations supplémentaires (par exemple “droits de mise en miroir non inclus”). Sortir de ce qui est couvert par l’enveloppe « gratuite » peut créer des obligations financières dont vous n’êtes peut-être pas conscient ou que vous n’êtes peut-être pas prêt à assumer.

Paywall #4 : Paywalls intégrés. Et comme si cela ne suffisait pas, Adobe a informé le CERN qu’une partie de son catalogue de logiciels Creative Cloud librement disponible n’est plus autorisée à être utilisée. Apparemment, certaines applications Adobe contiennent des logiciels ou des fonctionnalités protégés par des droits d’auteur de sociétés tierces, et l’utilisation de ces logiciels va au-delà des conditions convenues entre Adobe et ces sociétés tierces.

De même, le CERN a déjà été approché par une société externe pour utiliser ses polices protégées par le droit d’auteur. Alors que leur accord de licence était assez opaque, le problème se posait lors de la redistribution de leurs polices soit dans le cadre d’une application, soit en les publiant sur un site Web / une application Web. Curieusement, ces polices ont été distribuées par défaut avec un certain nombre de systèmes d’exploitation différents, y compris l’environnement de développement d’applications Oculus Unity.

Donc, si vous êtes un développeur de logiciels, un architecte système, un programmeur, un webmaster ou un hacker amical, méfiez-vous : assurez-vous que la pile logicielle que vous utilisez est légitime et sous licence. Assurez-vous que les outils que vous utilisez sont soit vraiment FOSS (avec “libre” comme dans “liberté d’expression” !) ou que vous ayez la licence appropriée. S’abstenir d’un usage « personnel » si le logiciel/code/produit est destiné à un usage professionnel. Au lieu de cela, envisagez d’utiliser des alternatives FOSS comme les référentiels de logiciels du groupe EP-SFT et l’instance Mattermost du CERN. Et vérifiez avec nous si le CERN détient déjà la bonne licence, comme nous le faisons pour Teamviewer : Software-License-Officer@cern.ch.

En effet, plus nous approfondissons les conditions de licence, plus nous sommes convaincus que la “licence” mérite un nouveau domaine de recherche scientifique : comment masquer au mieux les objectifs et l’utilité tout en maximisant le rendement financier en parallèle.

_______

Vous souhaitez en savoir plus sur les incidents et problèmes de sécurité informatique au CERN ? Suivez notre rapport mensuel. Pour plus d’informations, des questions ou de l’aide, consultez notre site Web ou contactez-nous à Computer.Security@cern.ch.

.

Leave a Comment

Your email address will not be published. Required fields are marked *