Spécial sécurité : Novell fait payer ses correctifs

Sommaire :

1 - Novell fait payer ses correctifs

2 - L’indolence de l’hébergeur avant la descente de police

1) Novell fait payer ses correctifs

Le temps est à l’orage sur les forums d’utilisateurs Novell. Surtout depuis que « kjhurni » s’est aperçu d’une légère modification des contrats de support garantis par Novell : l’accès à la base de connaissance ainsi que l’obtention des correctifs et des services pack seront réservés à ceux qui auront souscrit un contrat de maintenance. En toutes lettres dans l’avis Novellien : «  maintenance or subscription authorization will be required to access service packs and patches (excluding stand-alone security patches) for most Novell products ».

En d’autres termes, et en simplifiant à l’extrême, Novell se réserve de vendre des produits imparfaits (à l’instar de tous ses concurrents) mais, contrairement à ce qu’il est généralement d’usage, soumet la correction de ces imperfections au paiement d’un abonnement. Un abonnement que l’on peut difficilement ne pas appeler « impôt annuel d’utilisation ». On ne parle pas là d’interventions et développements résolvant des pannes de fonctionnement ou d’exploitation, mais bel et bien de travaux visant à réparer des vices de conception et effectuer des mises à jour. En langage de Ciso, cela se traduit par “faire de la sécurité un centre de profit”. Mais habituellement, c’est du côté de l’acheteur que l’on entend cette formule.

Ce n’est certes pas la première fois que Provoh (le siège de Novell) commet de telles erreurs tant stratégiques qu’humaines*. Très rapidement, le ton monte, les esprits s’échauffent, les insultes fusent, et les premières nuances apparaissent : ne sont concernés que les produits « non Open Source » et entrant dans la catégorie des logiciels « disponibles de manière générale » (autrement dits en phase de vie active). Les programmes en fin de cycle de vie voient leur correctifs et ressources libres d’accès. Ce qui ne console pas particulièrement la majorité des clients.

Il faut admettre qu’il est rare que des produits réseaux ou services complexes soient vendus sans un contrat de support. Mais le fait de lier ce contrat et la correction des bugs est un morceau difficile à avaler et une condition pouvant provoquer des situations dangereuses. «  Et si, demande un intervenant, un problème dans votre mécanisme d’authentification des clients ayant souscrit ledit contrat m’interdisait l’accès aux correctifs et service-pack ? je serais automatiquement vulnérable ». D’autres encore font remarquer qu’en général, une entreprise achète un logiciel en étant en droit d’espérer acquérir un outil le plus parfait possible, et que toute correction ultérieure ne doit pas être confondue avec un contrat de maintenance, originellement destinée à assister l’usager dans le cadre de l’utilisation quotidienne dudit programme.

Excédée par tant de grogne, la "senior vice-president", Novell Services, TeleWeb and Operations monte au créneau et tente d’expliquer que ces fameux patchs et correctifs contiennent de véritables morceaux de travail et de propriété intellectuelle, et qu’il est donc logique qu’ils soient facturés. L’aplomb avec lequel tout cela est affirmé est tel que pas un membre du forum ne demande à la sémillante "senior vice-president", Novell Services, TeleWeb and Operations si les trous de sécurité préalablement inclus dans les produits contiennent aussi une propriété intellectuelle et une valeur en « heure de développement d’erreurs ».

Aux dernières nouvelles, Novell aurait légèrement fait machine arrière et accepterait de donner libre accès à sa « knowledge base ». Ce qui ne résout en aucun cas la question du paiement des correctifs.

En toute logique, les clients français ne devraient pas être touchés par cette mesure. Car l’achat d’un programme Novell quel qu’il soit, vices de fabrications y compris, ne peut être soumis à la « vente liée » d’un contrat de maintenance… dont l’éventuelle souscription est laissé au libre choix du client. En attendant que ne s’enrichissent quelques avocats venus combattre de telles clauses léonines, la lecture du « forum communauté » du ci-devant numéro un des réseaux informatiques promet d’être passionnante et truffée de rebondissements.

2) L’indolence de l’hébergeur avant la descente de police

S’il est presque certain que le téléchargement d’un bêlement « staracadémicien » peut provoquer ipso facto une charge furieuse d’avocats enragés, un déluge de jugements expéditifs sans débat contradictoire et une pluie torrentielle de lourdes amendes, l’hébergement de sites mafieux et l’aide à la diffusion de codes destructeurs semblent à l’abri de telles avanies. C’est du moins ce que nous apprend ce billet de Pierre Caron du Cert Lexsi, qui livre les noms de tous des hébergeurs laxistes et du « palmarès des FAI infectieux » scrupuleusement tenus par le projet Fire (FInd RoguE networks, découvrons des réseaux nocifs). Un projet Fire qui n’épingle au passage qu’un seul FAI français – OVH -, lequel décroche toutefois une très honorable 13ème place, avec une activité florissante dans le domaine des sites de phishing.

En tête, remarque Pierre Caron, on trouve sans surprise des hébergeurs étatsuniens et canadiens. Et OVH mis à part, accompagné d’un fournisseur brésilien (9ème), il faut atteindre le 18eme rang pour trouver un Chinois suivi d’un Russe. 15 sur 17 des hébergeurs les plus faisandés au monde sont Nord-Américains. Ce qui, insiste le chercheur du Lexsi, ne présume pas de la nationalité du propriétaire du site marron. Admettons. Ce qui surtout prouve que ces grands centres nerveux de l’escroquerie et des infections virales sont accessibles par les services de police de pays occidentaux, et qu’il n’y a manifestement pas de réel problème d’extraterritorialité et de frontières juridictionnelles dans des pays rongés par la corruption (entendons par là ex-URSS, Chine, ex-pays d’Europe de l’Est...). Cette excuse a trop souvent été invoquée pour tenter d’expliquer les taux faramineux du spam, les records d’infections virales ou l’impunité de grands escrocs vendeurs de pilules bleues.

L’article se poursuit avec un florilège des excuses les plus consternantes données par ces hébergeurs peu pressés de balayer devant leur porte. Des propos qui ne trahissent ni la plus petite angoisse, ni franchement la peur du gendarme. Peut-être que les plus récidivistes pourraient recevoir une lettre recommandée ? Et guère plus d’ailleurs. Car le précédent McColo est là pour nous prouver que si la « suspension de l’abonnement Internet » peut aussi toucher les FAI, il n’est généralement provoqué que par la communauté des autres FAI fatigués des agissements de certains, et dans des situations extrêmes. Les autorités de régulation et l’Icann ne viennent mordre l’ennemi que lorsque sa dépouille est froide.

Il reste à espérer que l’action du Fire et les billets saignants de Pierre Caron suffiront à stigmatiser les fournisseurs d’accès fautifs et les inciter à accroître leur vigilance.