Re: [Fsfe-france] contact Libre <-> APP ?!

[jeremie ZIMMERMANN]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le Thursday 17 June 2004 17:32, Vincent Caron a écrit :

>
>    Le concept du hash MD5 est limité :  il ne peut constater que l'identité
> parfaite. Change un caractère, et le MD5 change. Pour signer des sources, on
> peut appliquer du preprocessing pour 'applanir' les différences avant de
> faire un MD5, mais l'exercice relève de toute façon de la logique floue.
>

oui, il garantit juste l'identification d'un contenu à un instant T.
si il y a une affaire de contrefaçon, il y aura saisie des sourcetrees chez 
les uns et les autres, et après avoir constaté que celui du plaignant est 
conforme à l'empreinte IDDN (ce qui assurera l'antériorité) on pourra faire 
procéder (par un expert judiciaire) à la comparaison au cas par cas, ligne 
par ligne, pour déterminer les similarités (ce sont les similarités et non 
les différences qui déterminent une contrefaçon...)


>    Je ne suis toujours pas sûr de comprendre. Ce qui est important, ce n'est
> pas d'identifier le logiciel, mais l'auteur et l'acte de création. L'acte de
> dépôt doit permettre de certifier 1) qui a déposé le code, 2) quel code, 3)
> quand.
>
l'auteur s'identifie pas d'autres moyens... l'utilisation d'un certificat 
giftfile (MD5+signature GPG) fournirait par ailleurs la combinaison 
identifiant un auteur ET son source...

le dépot permet juste de certifier quel code, c'est vrai que la question de la 
certification de l'auteur reste floue... (d'où l'idée soulevée au cours de 
cette rencontre de pousser la reflexion sur l'idée de l'emploi d'une 
empreinte+signature)

>    L'identification du logiciel se fera plus tard avec des méthodes à
> prévoir sur place : imaginez que vous avez déposé un driver GPL en C et que
> vous poursuivez un constructeur pour diffuser une version modifiée compilée
> sur MIPS, vous allez avoir besoin de choses plus sophistiquées que du MD5
> pour reconnaitre des bouts de votre code.
>

oui mais ça c'est le rôle de l'expert judiciaire dans le cadre d'un procès en 
contrefaçon! (voir plus haut) il partira simplement du hash MD5 pour 
confirmer que les sources qu'on lui fournira seront bien celles déposées à la 
date dite...

>    Je ne vois pas bien ce que vient faire la signature MD5 dans l'histoire.
> Et je suis surpris de ne pas entendre parler de dépôt de 'source' (je
> m'attend à ce que les propriétaires déposent les binaires, ce qui leur
> donnerait une protection très faible car il est difficile d'identifier des
> dérivations de binaire).
>
l'APP/IDDN/InterDeposit (je m'y perds) propose aussi des services de 
conservation de sources... sous scellés, dans un coffre... je crois savoir 
que les acteurs du monde propriétaire déposent leurs _sources_ chez APP et 
non leurs binaires, afin de bénéficier de la protecion maximale...

j'imagine que tu dois envisager le coût que ça peut représenter par rapport à 
celui d'un simple enregistrement d'une chaîne dans une base de donnée... il 
faut donc scaler ses moyens en fonction du niveau de protection requis... et 
certes oui le dépot des sources est peut-être le meilleur moyen, et il 
devrait être possible de le faire chez un huissier également, je ne sais 
pas...

>    J'ai l'impression qu'en 20 ans, le logiciel libre a pu vérifier que le
> plus simple et le plus efficace, c'est tout simplement de diffuser largement
> et publiquement tout logiciel. Un commit CVS laisse beaucoup de traces sur
> Savannah ou Gna! ... :)
>
>

cela ne fait pas 20 ans que le libre est "mûr"  au point de coller la frousse 
à beaucoup d'acteurs économiques de la vente d'exemplaires de logiciels! cela 
ne fait que quelques temps qu'ils s'inquiètent et tentent de le 
décrédibiliser par des actions juridiques...

l'affaire SCO montre hélas que la simple publication n'est pas une protection 
assez forte contre les pinailleurs et autres cracheurs de FUD... il y a un 
gros problème d'identification de chaque partie d'un logiciel qui est en fait 
une oeuvre collective, et c'est vrai que l'IDDN ne résoud pas totalement ce 
problème... je pense juste que c'est clairement un premier pas vers une 
"sécurité juridique" qu'il nous faudra d'une façon ou d'une autre acquerir 
pour faire face à des actions futures de déstabilisation juridique...




jz


- --

**  Jeremie ZIMMERMANN  * * *  http://tofz.org  **
**  get my GNUPG/PGP public key at http://tofz.org/pubkey.asc **



-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFA0cBe1eTOPM/5+wsRAjrBAJoCnJ/RSYc1Tn9XIPIu0uN67znyLACfZG4a
w6EQUrvWDazZwrGh4Rz8Zgg=
=wty5
-----END PGP SIGNATURE-----