Des lois européennes qui sont excellentes… Sur le papier

L’Union européenne a mis en avant un projet de loi sur la “résilience cybernétique” avec laquelle elle compte renforcer les défenses contre les différentes cyberattaques. Malheureusement, même si tous ces projets partent d’une excellente intention : celle des protéger au maximum les utilisateurs, cela pourrait apporter de graves répercussions sur ce que l’on appelle les “logiciels libres”.

Un logiciel libre ou “Open Source” est un logiciel qui peut être téléchargé, modifié, et dupliqué sans aucune limite. Le tout est complètement gratuit et généralement disponible sur les trois plateformes les plus populaires, à savoir : PC, MacOS, et Linux.

Ce projet européen soulève donc un certain nombre d’inquiétudes pour ce genre de production puisque la loi cherche à protéger les utilisateurs des vulnérabilités dans les différents écosystèmes logiciels.

Une série de bonnes pratiques sont établies sur les produits comportant des éléments numériques sur le marché européen :

• Assurer le produit tout au long de sa vie
• Adhérer à un cadre de cybersécurité cohérent
• Faire preuve de transparence sur la cybersécurité
• Assurez que les utilisateurs profitent du logiciel en toute sécurité

Mais alors, pour un logiciel payant ou gratuit “classique”, avec une licence d’une entreprise, les mesures peuvent être totalement suivies, mais pour les logiciels libres, cela pose problème. En effet, comment peut-on sécuriser un logiciel qui peut être utilisé, modifié et distribué à volonté sans appartenir vraiment à une entreprise particulière ?

Une menace pour les logiciels libres

Dans le texte de cette loi, l’UE semble oublier les logiciels “non commerciaux”, surtout que certaines versions de logiciels libres finissent par être payant. Imaginons le cas suivant : vous êtes un développeur, vous utilisez un logiciel libre vous permettant de créer de l’intelligence artificielle. Vous pouvez totalement modifier le logiciel à volonté et créer une version payante de ce dernier. Dans ce cas là, devrez-vous vous plier aux exigences de la loi européenne ? Techniquement, vous êtes sous une licence libre, donc aucun moyen d’être sûr que vous permettez aux utilisateurs d’avoir un logiciel totalement dépourvu de soucis de cybersécurité.

La plupart du temps, les logiciels libres sont créés et utilisés par des particuliers bénévoles, et même parfois des mineurs qui ne peuvent même pas encore déclarer d’entreprise à leur nom…

En avril 2023, une lettre ouverte a été publiée, provenant de diverses organisations produisants ce genre de logiciels :

Nous écrivons pour exprimer notre inquiétude quant au fait qu’une grande partie de la communauté open-source a été sous-représentée lors de l’élaboration de la loi sur la cybersécurité (...) Les logiciels open sources représentent plus de 70% des logiciels présents dans les produits à éléments numériques en Europe, cependant, notre communauté a bénéficié d’une relation établie avec les co législateurs. Avec cette loi, plus de 70% des logiciels en Europe sont sur le point d'être régulés sans concertation approfondie..

Cette loi obligera les éditeurs de logiciels à signaler les vulnérabilités détectées dans un délai de 24 heures suivant la détection. Autant dire que ces logiciels-libres, gratuits et modifiables, sont clairement en danger avec ces textes de lois.