Faille HeartBleed, une chance qu'OpenSSL soit un logiciel libre
Sécurité : Pour l’April, l’affaire HeartBleed ne doit pas déboucher sur une critique acerbe et une remise en cause du libre. Le fait que le code soit ouvert à la vigilance de tous reste une force. Vraiment ? Mais à condition que cette vigilance s’exerce réellement et que des moyens soient attribués.
La faille dans OpenSSL est-elle une ombre au tableau du logiciel libre ? Pour l’April, une association de promotion du logiciel libre, cette conclusion ne pourrait déboucher que d’une « analyse trop rapide ».
Pas question ici pour l’April d’éclipser les risques découlant de cette vulnérabilité. « L’impact de cette faille peut potentiellement être énorme » reconnaît ainsi l’association, qui ajoute aussi : « personne n'a jamais dit que le logiciel libre était infaillible ! ».
Le libre a démontré ses atouts sur le logiciel "privatif"
Mais pour l’April, la nature ouverte du code est justement ce qui a « permis de réduire considérablement l'impact de cette faille. »
« Dans le cas de HeartBleed, c'est même l'analyse du code lui-même, en voulant y ajouter de nouvelles fonctionnalités, qui a permis la détection de l'erreur. Ensuite, la correction a pu être immédiatement proposée par et à la communauté, le code-source étant une nouvelle fois disponible » argue l’association sur son site.
Et pour elle, le cas HeartBleed est même une nouvelle illustration de ce qui fait la force du libre sur le logiciel propriétaire, qualifié ici de « privateur ». Il « est fort probable que des failles de ce type existent dans du logiciel privateur… Et que personne n'en soit au courant parce que ça ne sort pas de l'entreprise en question » considère l’April.
La sécurité ? C'est l'affaire des autres
Au contraire, dans le cas du logiciel libre « on peut tous participer à trouver de telles failles, qu'on peut tous les corriger immédiatement pour son propre usage et qu'on peut tous en faire profiter le reste de la communauté. »
C’est le principe. Mais en est-il concrètement ainsi ? Des moyens sont-ils effectivement alloués pour identifier et corriger les bugs, en particulier dans des briques critiques et très largement déployées comme OpenSSL ?
Pour James Lyne, directeur de la recherche pour Sophos, la sécurité en vient souvent être abordée de la manière suivante : « c’est le problème d’autres personnes ». Il critique la « perception », trop communément admise selon laquelle « c’est Open Source, par conséquent, comme une boîte noire, c’est sécurisé car d’autres personnes l’analysent pour moi ».
OpenSSL : une "infrastructure critique" mais sous-financée
Or, regrette James Lyne, si OpenSSL est critique, le projet ne dispose paradoxalement que d’un financement réduit. « Nous en sommes tous très, très fortement dépendants, attendant d’eux qu’ils fassent un excellent travail, et pourtant en réalité ils sont désespérément sous-financés » insiste-t-il.
Pour l’expert en sécurité, le fait que le code soit ouvert et donc potentiellement soumis à la vigilance de tous ne se suffit pas à lui-même et n’apporte pas la garantie que du temps et des moyens sont effectivement alloués à la sécurisation du code.
Et des moyens, malgré sa criticité, OpenSSL en manque justement, y compris au cours de cette semaine où il a pourtant été au cœur de l’actualité. Cette semaine, le projet n’a ainsi reçu que 841 dollars de dons, témoigne Lyne. « C’est triste » lâche-t-il.
Après la faille goto_fail sur iOS, puis la faille de GnuTLS, en voici une maintenant dans OpenSSL. Que nous réserve cette...
Suivez toute l'actualité de ZDNet sur Google Actualités.
.jpg)
-
« c’est Open Source, par conséquent, comme une boîte noire, c’est sécurisé car d’autres personnes l’analysent pour moi »
mrpatator
Répondre
-
@mrpatator
Hansi
Répondre
-
C'est la plus dangereuse faille de sécurité révélée à ce jour. Pour l'essentiel, une version de OpenSSL permettait pendant 2 ans de prélever sur les serveurs des blocs de 64K et de récupérer certificats et clés d'encryptage, sans parler de mots de passe et identifiants. Le tout sans laisser de trace si bien qu'on ne saura jamais si et où la faille a été exploitée. Une catastrophe dit Bruce SCHNEIER qui ajoute "Sur une échelle de 1 à 10, c'est 11" (https://www.schneier.com/blog/archives/2014/04/heartbleed.html )
philmey
Répondre
-
@philmey
Hansi
Répondre
-
@ mrpatator : si les crackers pointus n'ont pas besoin des sources pour trouver des failles, elles leur facilitent bien le travail. Elles ouvrent également la voie à de nombreux crackers occasionnels, normalement insuffisamment compétents et outillés pour agir. Elle leur donne même les moyens de recréer facilement des clones vérolés de logiciels sains.
pépé75
Répondre
-
Une chance !? Une blague oui ! La NSA et dieu sait combien d'autres entités ont pu exploiter cette faille pendant plus de 2 ans juste en jetant un oeil au code source ! Un logiciel propriétaire (hello Microsoft et consorts) aurait au moins eu le mérite de limiter une telle fuite d'information critique.
benedict_xvi
Répondre
-
Je rejoins certaines interventions.
LeClown
Répondre
-
@ Hansi (02:47)
pépé75
Répondre
-
@ Hansi (02:59) : « globalement, le développement du Libre a prouvé que l'ouverture du source reste plus sécurisé, parce qu'il n'y a aucun intérêt à laisser des failles traîner... »
pépé75
Répondre
-
Je suis juste halluciner de lire de tels commentaire sur le logiciel libre !
elder
Répondre
-
@Sylvain
philmey
Répondre
-
@Sylvain
philmey
Répondre
-
@ Sylvain : l'ignorance de l'exploitation d'une faille à un moment donné n'implique pas son inexistence.
pépé75
Répondre
-
Aujourd'hui, on sait que la faille a été largement exploitée.
pépé75
Répondre
-
@ elder :
pépé75
Répondre
Peut-être.
En tout cas bien différent du "C'est du logiciel fermé, donc personne ne verra rien", sauf que les hackers n'ont pas besoin des sources pour trouver des failles...
Attention : un "hacker" (bidouilleur) n'est pas un cracker (pirate) !
Pour le reste, je suis d'accord avec vous, mais je pense surtout que le véritable problème d'OpenSSL, c'est que les principaux mainteneurs sont allemands et anglais (https://www.openssl.org/about/). Je n'ai donc aucun doute que nos amis américains adoreraient "privatiser" ce projet libre qui échappe encore à leur emprise.
Quand aux 841 $ de dons, je me méfierais des conclusions hâtives : ces personnes ont sûrement un travail à côté, et j'ai plus l'impression de bénévoles passionnés que de salariés dépendants... Ceci dit, je trouve quand même scandaleux que les banques, les hébergeurs et les équipementiers ne soient pas plus généreux envers des projets de ce type qu'ils utilisent très largement.
On rappellera également que "libre" n'est pas "gratuit", et si la philosophie du logiciel libre est basée sur le partage du logiciel, du code source, et donc du savoir, ces gens ont aussi besoin de vivre pour continuer à maintenir et améliorer leurs logiciels.
C'est un sale coup pour le logiciel "libre" en milieu professionnel et il faut être inconscient de l'impact Heartbleed pour y voir une chance pour Open Source. Surtout si cela s'appuie sur l'argument selon lequel une communauté ouverte de bénévoles "voit" nécessairement mieux et plus qu'une équipe restreinte responsabilisée. Pour cela il aurait fallu que sur Terre il n'y ait que des gens bien intentionnés et désintéressés.
Vu les révélations de Snowden, votre prose alarmiste fait sourire. Surtout quand je vois le nombre de backdoors déjà détectées dans des équipements dits "professionnels" - et je ne parle pas des OS fermés ou de couches de virtualisation forcée qu'on retrouve dans certains serveurs dits "professionnels" !
Je vous laisse simplement imaginer ce qui se passerait dans un cas similaire avec un éditeur américian qui découvrirait le pot aux roses dans un ses logiciels. Je doute fortement qu'il irait rendre la chose publique. Par contre, je n'ai aucun doute que la NSA lui lècherait les bottes pour récupérer "le précieux".
Donc à la question de savoir si le libre est plus sécurisé, la réponse reste oui, sans la moindre hésitation.
Les faits ont déjà démontré en de nombreuses occasions que l'open-source n'offrait pas la garantie d'une détection et d'une correction plus rapide des erreurs, simplement (comme l'article le rappelle) parce que tout le monde pense que quelqu'un d'autre se charge de déverminer les sources, et par manque de moyens pour produire les correctifs. En comparaison, les crackers ont certainement plus de chance de pouvoir profiter de l'ouverture des sources pour trouver et exploiter une faille que les utilisateurs de la découvrir et développeurs de la corriger.
Tant qu'on ne prend pas la peine de contrôler soi-même l'ensemble du code des logiciels qu'on utilise (ce qui est généralement le cas), le problème de confiance envers les éditeurs des logiciels propriétaires fermés n'est finalement pas très différent de celui qu'on devrait normalement avoir envers les équipes de développement open-source. Mais quand on est mené par ses sentiments...
Contrairement à ce qu'on nous rabâche depuis des années, l'intérêt de l'open-source ne réside pas dans sa prétendue meilleure sécurité, mais dans la possibilité de corriger soi-même une erreur bloquante quand l'éditeur du logiciel tarde à le faire.
-
@pepe75
Hansi
Répondre
Vous m'excuserez de constater que je n'ai toujours pas besoin d'un antivirus sous GNU/Linux, et je me permettrais également de vous faire remarquer que bien avant la date de fin de support officiel d'xp, microsoft ne s'est pas gêné pour "lacher" ses clients en refusant de mettre à jour son navigateur.
Donc non : le problème de la confiance n'est pas le même. La dépendance au fournisseur inclus la volonté réelle de ce dernier à maintenir son outil, or quand on voit microsoft vendre aujourd'hui du support étendu pour xp à prix d'or, on ne peut que constater que le dealer récupère ses billes une fois la dépendance bien en place.
Quand aux futurs correctifs d'xp, qui ira vérifier que le boulot est fait et bien fait ?
Alors ok c'est ouvert donc c'est plus sécurisant (avec l'augmentation de la probabilité de la découverte d'une telle faille) mais ça n'est absolument pas plus sécurisé ! Il faut être réaliste, personne (de bien intentionné) ne va prendre le temps de s'intéresser aux millions de lignes de code qui en plus sont amenés à évoluer !
Pour moi, la meilleure arme contre les hackers c'est l'évolution. Ça, même les bactéries l'ont déjà compris. Il serait temps maintenant que les humains s'y mettent. Et la dissimulation rajoute à rendre les attaques plus difficiles, ce qui, dans un contexte évolutif, est efficace contre les agressions.
-
@benedict_xvi
Hansi
Répondre
Possible en effet que la NSA ait exploité le filon, mais on n'en aura jamais la certitude. Par contre je ne vois pas en quoi un logiciel proprio aurait limité la fuite d'infos, et j'irais plus loin : pouvez vous me certifier aujourd'hui qu'il n'y a pas de backdoors dans windows (relisez attentivement votre CLUF...) ou mac os x ? J'ai souvenir d'un développeur qui a un jour voulu implanter un backdoor dans le noyau Linux. Repérer par ses pairs, il a été viré vite fait, ce qui prouve quand même qu'il y a assez de personnes qualifiées sur kernel.org pour ne pas se laisser avoir. Je ne dis pas que c'est le cas pour tous les logiciels libres, et on le voit ici avec une faille qui est passée entre les mailles du filet, mais globalement, le développement du Libre a prouvé que l'ouverture du source reste plus sécurisé, parce qu'il n'y a aucun intérêt à laisser des failles traîner, contrairement au monde privateur de liberté où la faille peut être utilisée comme une arme de destruction massive - et je n'utilise pas ce terme sans raison - Snowden, c'est juste la partie visible de l'iceberg...
Pour pirater un logiciel au code fermé, les hackers mettent en place de nombreux process pour arriver à leur fin.
Pour un logiciel Open source, ils peuvent faire exactement la même chose. Sauf qu'ils peuvent en plus décortiquer le code.
Malgré ça, certains s'obstinent à répandre leur propagande sur une soit disant meilleure sécurité des logiciels Open source.
Un pirate sera toujours beaucoup plus motivé à déchiffrer des milliers de lignes de code en espérant décrocher le jackpot, plutôt qu'un développeur lambda.
Donc il aura toujours un temps d'avance que les soi-disant milliers de développeurs qui pourraient découvrir la faille ...
Les antivirus, et donc leur absence sous Linux, n'empêchent pas qu'on ait pu exploiter la faille dont on parle ici. Et leur présence n'est pas plus justifiée sous Mac OS X.
Question "lâchage", j'attends depuis plusieurs années que les libristes corrigent des erreurs bloquantes dans une suite logicielle gratuite très répandue que je ne citerai pas.
Dès lors que la taille et l'usage du logiciel ont pris suffisamment d'importance, le problème de dépendance devient le même qu'il s'agisse d'un produit commercial fermé et payant ou d'un produit gratuit et open-source. Dans ce deuxième cas, on paye d'une autre manière, plus indirectement, mais la finalité pour l'éditeur sournois et la perte de libertés pour les utilisateurs ne sont pas très différentes.
Bref, il n'y a pas de raison de faire plus confiance aux acteurs d'un des deux modèles de développement plus qu'à ceux de l'autre.
Non, l'ouverture des sources n'est pas plus sécurisé, et les failles peuvent y être tout autant exploitées par des tiers à des fins malveillantes, voire implantées à dessein par les développeurs (qui peuvent prétendre avoir fait une banale erreur s'ils sont découverts) et renouvelées par eux autant de fois que nécessaire tout au long de l'évolution du produit.
Malheureusement, il n'y a pas plus de raisons de faire confiance en l'équipe de développement d'un logiciel propriétaire fermé que dans celle d'un logiciel libre et open-source.
Prouver que le Libre est plus sécurisé exigerait déjà de démontrer que ceux qui le proposent sont forcément désintéressés et irréprochables. Cela reviendrait à donner un blanc -seing à Oracle et Google mais pas à Rarlab par exemple...
En fait, absolument RIEN n'empêche qu'un développeur libriste travaille pour une agence gouvernementale, pour une mafia... ou pour son propre compte.
-
@pepe75
Hansi
Répondre
Pour ma part je n'ai aucun problème avec LibreOffice au niveau professionnel. Mais c'est vrai que c'est un choix global de l'entreprise que de se simplifier le travail avec des formats ouverts et interopérables. Le module de base de données reste encore, pour le moment, le talon d'achille de la suite libre, mais pour le reste, LibreOffice vaut largement ses concurrents !
Votre affirmation de taille me paraît quant-à-elle erronée : regardez ce qui s'est passé quand Oracle a voulu "fermé" OpenOffice avec son JavaFX maison : le fork LibreOffice est aussitôt né et continue aujourd'hui de se bonifier! Je pourrais vous citer d'autres exemples, comme ABE face à AdBlock dans les modules de Firefox par exemple, mais globalement, le libre permet effectivement de s'affranchir beaucoup plus facilement d'un fournisseur indélicat ou tout simplement nul. Regardez également les développeurs du kernel qui s'échangent des gueulantes mémorables à coups de mails atomiques : je n'ai pas l'impression que Linus Torwalds, malgré l'évidente réussite de son projet, soit devenu un dictateur tout puissant, et quand il doit faire un choix, le critère final est basé sur la logique seule. Dans ce kernel là, il n'y a pas de place pour les minables ou le clientélisme, et le caractère particulier de Torwalds n'est clairement pas celui d'un politicien.
A la question donc de savoir si les gens qui font du libre sont désintéressés ou irréprochables, il faut rester lucide : entre les SSII libres dont le but est clairement de gagner de l'argent, celui des fondations qui est déjà plus neutre dans son approche, le monde des associatifs qui fait appel au bénévolat, et enfin l'utilisateur qui prend du libre parce que ça marche et que ça lui évite de pirater des logiciels à la con en se chopant des virus dans un crack, chacun à ses raisons propres. Personnellement, j'attends d'abord de pouvoir garder la main sur l'outil informatique, parce que si la sécurité se rapporte à la confiance, je n'ai pas attendu que Snowden ait le courage de dire tout haut ce que les gens du métier supposaient déjà largement depuis un moment...
PS : la Ubuntu 14.04 LTS, qui sort cette semaine, semble apparemment un bon cru de plus, même si Canonical n'a toujours pas compris que MATE est un environnement graphique beaucoup plus simple et léger en entreprise ! Dommage de passer si près du sans faute.
Concernant une éventuelle malveillance des développeurs, c'est juste n'importe quoi !
Ceux qui développent les logiciels libres, sont avant tous, ceux qui s'en servent.
Le "bug" est présent dans TOUS les logiciels quel que soit le modèle qui préside lors du développement. Le logiciel libre offre l'opportunité de jamais cesser de pouvoir le corriger.
Maintenant des commentateurs que @LeClown ont peut être quelque chose à vendre, vu la charge contre les LL, mais si je dois payer et que je n'ai pas les sources je suis obligé de faire confiance à l'éditeur... Qui se débrouillera pour faire signer une licence interdisant toute publication relative à la sécurité histoire que ses failles critique ne soit jamais publié dans la presse !
Une péripétie comme la faille heartbleed ne fait que valider le modèle de développement collaboratif des logiciels libre.
Combien de logiciels payant moisi pour une faille heartbleed dans un logiciel libre ?
La réponse restera inconnue, les propriétaires des logiciels moisis ne tiennent pas à ce que ça se sache (dormez... Tout va bien... On veille sur vous et vos données).
-
Ces commentaires sans doute parce que le caractère relatif de la sécurité étant indiscutable, les gens ont voulu déplacer le débat en opposant développement privé et communautaire.
Sylvain
Répondre
La solution est plutôt individuelle. Qu'est-ce que je veux protéger ? Qu'est-ce je peux faire en cas de défaillance, puisque ma sécurité est relative ? Question d'éducation et prise de conscience.
Quant à OpenSSL en particulier, le fait qu'il n'y ait pas de preuve d'exploitation, confirme que la faille était très peu connue.
Il suffit de constater le nombre de sites et forums dédiés aux exploits, vers et compagnie.... Ca se serait su très vite.
Il est certain que les problèmes de sécurité concernent tant les logiciels privés que ceux développés en communauté ouverte, mais les commentaires pour une fois n'ont pas déplacé le débat. L'article contient la polémique déjà dans son titre : "Faille HeartBleed, une chance qu'OpenSSL soit un logiciel libre".
Quoi qu'il en soit, il faut bien mesurer la particularité et l'énormité du bug Heartbleed, du fait qu'il affecte le cœur - d'où son nom - du système d'encryptage/décryptage. Cette fois ce n'est pas un bout de code malintentionné qui aurait infecté des centaines de milliers d'utilisateurs mais, à l'inverse, un bout de code inachevé côté serveur, ce qui a laissé pendant 2 ans la porte ouverte du coffre fort de chiffrement sur quelque 500 000 sites, dont Google, Yahoo, Amazon,...
Le fait qu'il n'y ait pas preuve d'exploitation, dites vous, confirme que la faille était peu connue. Curieux raisonnement. Il faut remarquer, tout d'abord, qu'il n'y a pas de preuve d'exploitation car il ne peut pas y avoir de preuve pour des raisons techniques (l'accès aléatoires aux blocs mémoire de 64K ne laisse aucune trace). Mais si "la faille était très peu connue", elle était donc connue de quelqu'un ou de quelques-uns. Pendant 2 ans, sans ébruiter la chose. Si vous vouliez avec ce raisonnement minimiser l'effet catastrophique de Heartbleed, ce n'est pas comme cela qu'il fallait se pendre, car c'est exactement cette si longue discrétion qui inquiète.
Il est certain que les problèmes de sécurité concernent tant les logiciels privés que ceux développés en communauté ouverte, mais les commentaires pour une fois n'ont pas déplacé le débat. L'article contient la polémique déjà dans son titre : "Faille HeartBleed, une chance qu'OpenSSL soit un logiciel libre".
Quoi qu'il en soit, il faut bien mesurer la particularité et l'énormité du bug Heartbleed, du fait qu'il affecte le cœur - d'où son nom - du système d'encryptage/décryptage. Cette fois ce n'est pas un bout de code malintentionné qui aurait infecté des centaines de milliers d'utilisateurs mais, à l'inverse, un bout de code inachevé côté serveur, ce qui a laissé pendant 2 ans la porte ouverte du coffre fort de chiffrement sur quelque 500 000 sites, dont Google, Yahoo, Amazon,...
Le fait qu'il n'y ait pas preuve d'exploitation, dites vous, confirme que la faille était peu connue. Curieux raisonnement. Il faut remarquer, tout d'abord, qu'il n'y a pas de preuve d'exploitation car il ne peut pas y avoir de preuve pour des raisons techniques (l'accès aléatoires aux blocs mémoire de 64K ne laisse aucune trace). Mais si "la faille était très peu connue", elle était donc connue de quelqu'un ou de quelques-uns. Pendant 2 ans, sans ébruiter la chose. Si vous vouliez avec ce raisonnement minimiser l'effet catastrophique de Heartbleed, ce n'est pas comme cela qu'il fallait s'y prendre, car c'est exactement cette si longue discrétion qui inquiète.
Par exemple, bon nombre de hackers gardent sous le coude des failles qu'ils exploitent en privé, notamment à des fins d'investigation, aussi longtemps qu'elles ne sont pas divulguées publiquement. Et certains ne s'en cachent pas (je pense en particulier à une interview d'un développeur de jailbreak d'iPhone), sans pour autant fournir de détails.
Il en va de même pour les crackers travaillant pour les mafias et les agences gouvernementales où, la politique du secret allant bien au-delà, des précautions sont prises pour ne jamais être découvert. Autant que faire se peut, ils ne laissent ni indice, ni preuve.
Une faille peut donc parfaitement être mise à profit durant des années sans qu'on s'en aperçoive, et sa découverte ne pas suffire à divulguer rétrospectivement les « exploits » perpétrés.
Aujourd'hui, on soupçonne la NSA d'avoir tiré parti de la faille Heartbleed pour ses opérations d'espionnage bien avant que l'affaire ne soit rendue publique, mais l'agence dément catégoriquement. Si cela est vrai, il y a en fait bien peu de chances qu'on le découvre jamais.
En ce domaine, s'il y a bien une chose qu'on ne peut pas affirmer, c'est que « ça se serait su très vite. ».
https://www.zdnet.fr/actualites/heartbleed-l-exploitation-de-la-faille-a-debute-notamment-au-canada-39799953.htm
En fait, cela a probablement été rendu possible par la connaissance de la faille et l'accès public au code source.
Alors, peut-on encore parler de « chance » qu'OpenSSL ait été un logiciel libre ??? Il faudrait le demander aux victimes, passées, présentes... et aussi futures, parce qu'avant qu'elle soit partout corrigée, cette faille risque de faire encore beaucoup parler d'elle.
« Concernant une éventuelle malveillance des développeurs, c'est juste n'importe quoi ! » :
Vous ne pouvez malheureusement pas vous porter garant de tous ceux qui développent des logiciels libres (qui, contrairement à ce que vous affirmez, le font principalement à destination des autres).
Vu les personnes particulièrement intéressées et malhonnêtes que je connais parmi les libristes, je doute qu'ils soient beaucoup moins nombreux que chez les éditeurs de logiciels commerciaux fermés. La différence entre les deux catégories est juste le niveau auquel ils peuvent tirer profit de leur activité et gruger leurs « clients ».
« Une péripétie comme la faille heartbleed ne fait que valider le modèle de développement collaboratif des logiciels libre. » :
Les dernières infos à propos de cette « péripétie » semblent plutôt indiquer que ce modèle a grandement facilité l'exploitation d'une faille importante tout en ne permettant pas la création et la diffusion assez rapide d'un correctif pour l'éviter.
On devrait en conclure que, dans le cas présent, ce modèle de développement n'était pas adapté à la situation.
« Combien de logiciels payant moisi pour une faille heartbleed dans un logiciel libre ? »
C'est bien vite oublier que le libre compte encore plus de logiciels « moisis », le plus souvent faute de moyens. En effet, toutes les communautés de développeurs n'ont pas le niveau, le temps et les ressources nécessaires pour créer des produits d'une qualité acceptable.
En fait, ce ne sont pas vraiment les modèles de développement qui déterminent cette qualité, et il n'est pas pertinent de vouloir les opposer sur ce point. Quant au secret de l'un et à la transparence de l'autre, ils peuvent tout autant apporter des avantages ou des inconvénients au gré des circonstances.
Les utilisateurs de logiciels propriétaires fermés finissent toujours par s'apercevoir quand ceux-ci sont « moisis ». Mais il en va de même pour les logiciels libres, et les utilisateurs qui sont capables de trouver l'erreur, la corriger, et conserver cette correction après les mises-à-jour ultérieures restent finalement très rares.
Les aficionados du libre ne semblent pas vouloir admettre que leur modèle de prédilection ne règle pas tous les problèmes, et en pose même certains. Et chez certains éditeurs libristes aussi parfois, on murmure « dormez... tout va bien... on veille sur vous et vos données ».