Dans un environnement de recherche ouvert, l'utilisation d'outils et de logiciels commerciaux libres et open source (freemium and open source software – FOSS) n'a rien d'inhabituel. D'ailleurs, de nombreux chercheurs, développeurs de logiciels et étudiants ont adopté le téléchargement gratuit sur Internet. Par le passé, nous avons vu que le téléchargement, le copier/coller et l'incorporation de tout type de logiciel tiers sans discernement comportent des risques pour la chaîne d'approvisionnement logicielle. Aujourd'hui, nous devons réfléchir au véritable sens du mot « gratuit » et à ses limites.

Beaucoup de logiciels sont proposés au CERN sans contrepartie et pas seulement des FOSS. Mais n'y a-t-il vraiment aucune contrepartie ? De nombreux fournisseurs de logiciels offrent un téléchargement gratuit et utilisent des stratagèmes pour promouvoir leur produit, attirer plus d'utilisateurs et augmenter leur part de marché. Comme d'habitude, le diable se cache dans les détails. En l'occurrence, dans les conditions de licence. Les conditions de licence* peuvent stipuler que tel téléchargement n'est gratuit que pour un usage personnel, pour des équipes réduites, pour des universités ou des organisations à but non lucratif, etc., et faire de la programmation pour le CERN ne rentre pas forcément dans l'une de ces catégories. Il faut parfois un diplôme en philosophie pour interpréter des contrats de licence : qu'est-ce que la recherche, fondamentalement ? Une activité qui aboutit à des publications scientifiques ? Une activité menée par une personne titulaire d'un doctorat ? Une activité interne au CERN uniquement (ce qui exclut la possibilité de collaborer avec des universités) ? Croyez-nous, nous avons entendu tous les points de vue. Autant dire qu’il n'est pas aisé de déterminer la situation du CERN dans le contexte de chaque contrat de licence, ni la mesure dans laquelle nous sommes autorisés à utiliser ces licences dites « libres ».

Conditions d'abonnement #1 : Au-delà de l'usage personnel. Teamviewer propose un téléchargement « gratuit pour un usage personnel ». De toute évidence, cela exclut tout usage professionnel, y compris un usage sur le site du CERN ou par le biais de son réseau. Selon leur base de connaissances, l'utilisation professionnelle ou « commerciale » désigne aussi l'aide apportée à des collègues, les connexions à distance au réseau de votre organisation ou les connexions à des fins de maintenance et d'assistance. Cela concerne aussi les organisations à but non lucratif si vous ou une autre personne membre de l'organisation percevez une rémunération de celle-ci.

Conditions d'abonnement #2 : Toi + moi + nous. Slack permet à de « petites » équipes d'utiliser ses services gratuitement, mais si vous l'utilisez dans le cadre de votre travail au CERN, les petites équipes deviennent des grandes. Sans surprise, Slack a contacté le CERN à plusieurs reprises pour nous suggérer d'acheter une licence afin de couvrir l'utilisation « à grande échelle » de l’outil par l'Organisation. Alors la prochaine fois que vous utiliserez votre adresse électronique CERN pour vous inscrire sur Slack, demandez-vous si vous êtes aussi prêts à fournir un code budgétaire pour contribuer à l'achat de la licence.

Conditions d'abonnement #3 : Un menu incomplet. Anaconda est une plateforme Python permettant de télécharger gratuitement des milliers de progiciels et de bibliothèques en open source, à l'intention des étudiants, des universitaires ou des amateurs. Bien que « universitaires » corresponde a priori à l’environnement de recherche du CERN, le téléchargement s'accompagne de restrictions supplémentaires (par exemple, certains droits, comme le miroitage, ne sont pas inclus). Ce qui n'est pas couvert par l'étiquette « gratuite » peut impliquer de lourdes obligations financières dont vous n'avez pas conscience.

Conditions d'abonnement #4 : Les achats intégrés. Comme si cela ne suffisait pas, Adobe a notifié le CERN du fait qu'une partie de son catalogue de logiciels Creative Cloud, accessible gratuitement, n'est désormais plus disponible. Apparemment, certaines applications Adobe contiennent des logiciels ou des fonctionnalités protégés par le droit d'auteur de sociétés tierces, et l'utilisation de ces logiciels va au-delà des conditions convenues entre Adobe et ces sociétés tierces.

De la même manière, le CERN a déjà été contacté par une entreprise externe au sujet de l'utilisation des polices d'écriture de celle-ci, soumises au droit d'auteur. Le contrat de licence était assez opaque et le problème s'est posé lors de la redistribution des polices, utilisées dans une application ou publiées sur un site web/une application web. Curieusement, ces polices ont été distribuées par défaut avec un certain nombre de systèmes d'exploitation différents, dont l'environnement de développement d'applications Oculus « Unity ».

Que vous développiez des logiciels ou que vous construisiez des systèmes, que vous soyez programmeur, webmestre ou un pirate bien intentionné, assurez-vous donc que votre pile logicielle soit légale et sous licence. Vérifiez que vos outils sont vraiment libres d’accès ou que vous détenez la licence adaptée. Ne faites pas un usage personnel d'un logiciel/code/produit destiné à un usage professionnel. Songez plutôt à utiliser une alternative aux logiciels FOSS, comme la logithèque du groupe EP-SFT et les canaux Mattermost du CERN, par exemple. Renseignez-vous pour savoir si le CERN dispose déjà de la bonne licence (comme c'est le cas pour Teamviewer) en vous adressant à : Software-License-Officer@cern.ch.

* Ces conditions de licence, dont le but est d'obscurcir autant que possible l'objectif et l'utilité, tout en maximisant le rendement financier, devraient faire l’objet d'un nouveau champ de recherche scientifique tant leur étude est intéressante...

________

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.