Le Ministère de la défense a réalisé en interne à l’[url=“http://www.esat.terre.defense.gouv.fr/”]ESAT/url un audit de sécurité d’un an sur la suite bureautique libre OpenOffice. Les résultats de l’enquête mettent en lumière des problèmes liés à la sécurité du logiciel, dus non pas à des failles dans le code, mais à la conception du produit.
[center][/center]
Comme pour MS Office en son temps, les macros sont pointées du doigt par les chercheurs. Par exemple le fait que les documents cryptés par la suite ne cryptent pas les parties contenant les macros … Macros qui peuvent ensuite s’exécuter sans intervention de l’utilisateur. Un petit air de déjà vu ?? Et pour tout arranger, aucun antivirus n’est pour l’instant capable de surveiller les actions d’OpenOffice.
Au moment où de plus en plus d’administrations passent à la suite libre, les experts affirment qu’ “OpenOffice nous apparaît comme plus dangereux que son équivalent commercial édité par Microsoft ; […] c’est un produit jeune qui n’a jamais été pensé en terme de sécurité”. Ouch !
La bonne nouvelle pour tous les fans d’OpenOffice, c’est qu’un échange est prévu entre les équipes du ministère et les développeurs pour discuter des mesures de sécurité à mettre en place. En tout cas tout cela montre bien l’intérêt général que provoque ce que l’on peut considérer désormais comme un concurrent d’Office, en attendant la sortie de la version 2007 bien sûr.
i Ecole Supérieure d’Application des Transmissions[/i]
Moi ce qui me fait chaud au coeur, au delà d’etudes sérieuses sur ce logiciel, c’est la coopération entre les equipes d’OOo et des personnes qui ont réalisé cet etude pour qu’à l’avenir le logiciel soit plus sécurisé.
La citation complete est :
« Il ne faut pas jeter le bébé avec l’eau du bain: c’est un produit qui est jeune et il n’a jamais été pensé en terme de sécurité. Jusqu’à présent, la priorité a été de proposer autant de fonctionnalités que Microsoft Office.»
Ce qui rends un peu moins… alarmante ta version B).
«Avec la communauté open source, le moindre problème nous est immédiatement signalé par les utilisateurs et nos développeurs réagissent illico. Nous sommes plus rapides que Microsoft pour proposer des correctifs logiciels. OpenOffice bénéficie également d’un grand nombre de communautés actives utilisant différents langages, toujours prêtes». dixit les gars d’open office non en réponse à l’etude mais pour le correctif de début juillet. ici
Moi je vois ca comme une bonne nouvelle, j’espère que l’équipe d’OOo tiendra compte de toutes les remarques car en tant qu’utilisateur d’OOo chez moi et de MSOffice au TAF je dois dire qu’OOo n’arrive pas encore à la hauteur de MSOffice sur de nombreux points : performance, intégration de l’interface, documentation de la suite et de la partie consacrée au Macro, la sécurité, …
Je rejoins d’autres posts, oui, OpenOffice n’est pas encore au niveau de MSOffice, mais au moins, quand on leur montre des bugs, ils vont y bosser.
Bon ben maintenant, à suivre !
Personnellement OOo a beau etre en dessous de ms office, ça n’est pas cette “supériorité” de microsoft qui pourra me convaincre de mettre plus d’€ dans sa suite office que dans une CG haut de gamme.
Je n’ai jamais compris pourquoi MS office était si cher (2 voire 3 ou même 4 fois plus cher qu’un Windows O_o )
“C’est un produit jeune, on a pas pensé à la sécurité”.
Sauf que bon, quand même, dans toutes les formations de développement, maintenant, on explique bien qu’il faut penser à la sécu dès la phase de conception, et pas à posteriori.
M’enfin, s’ils pensent s’en sortir comme ça…
(perso, chuis resp info dans une administration, et il est hors de questions, pour plein d’autres motifs, dont le fait que nos applis “métiers” soient interfacées avec office et que l’éditeur veut pas proposer la compat’ avec OOo, qu’on switche à court terme.)
Bah on a le meme probleme, mais au niveau d’un PME.
Pour faire simple, on a developper tout un truc sur Excel, bourrer de macro et de VBA, et déja a chaque nouvelle version de Excel on serre les fesses pour que ca continue de marcher, alors OOo on a bien essayé, pour le principe, mais bon, pas question que l’on refasse tout le truc.
[quote=“nolan, post:6, topic: 29926”]Du genre “C’est un produit jeune, donc ça va aller?”
(je rapelle que le code a été libéré de guantanamo en 2000 et qu’avant ça s’appellait… StarOffice).[/quote]
Bien sûr, je le sais, mais j’ai lu des gens qui clamaient que OOo était super sécurisé et mieux que MS Office (même si il y a matière à discuter sur ce dernier point). Donc c’est bien de dire ça aussi des logiciels libres.
Les macros on est obligés de les exécuter? Car quand j’ai des documents qui en contiennent il me demande mon avis, si je sais pas ce que c’est je réponds non… des trucs peuvent quand même s’exécuter?
C’est là qu’est le soucis B), elles peuvent s’executer toutes seules. MsOffice avait le meme problème sur des version antérieures. Enfin c’est pas une “faille de sécurité” il doit bien en avoir d’autre comme dans tout gros programme qui se respecte ^^.
N’empêche que quand on dit “il y a des failles de sécurité dans office” tout le monde crie au scandale!! M$ c’est de la merde et tout et tout. C’est marrant comme les gens ont une attitude vraiment différente quand il s’agit d’OOo. Bon c’est vrai que pour office il a fallu raquer pour avoir la licence mais quand même.
On voit bien l’importance de l’image de l’entreprise (ou de la structure) : “Y a une faille de sécu dans un logiciel.” Si c’est MS c’est pas normal, si c’est OOo bo c’est pas si grave et puis il est jeune comme produit blablabla…
C’est pas super impartial tout ça.
Moi j’dis ça, j’dis rien B)
Edit : bon après coup je me dis : “tain tu pues le troll” donc dsl on peut éffacer si vous pensez que ça peut partir en sucette
Je dirais plutot quand tu payes un produit la peau du cul, on est en droit de s’attendre à un produit parfait, tandis que quand on ne le paye pas, on peut être un peu plus cool sur certains points.
Et imaginons un coup que paf bill pète un cable (du point de vue de ses actionnaires) et il fasse un cadeau pour son départ en retraite : La suite Office gratuite. (SF quand tu nous tiens)
Est-ce que tu changerais ton comportement en disant “bon c’est gratuit donc même s’il y a une petite faille ou deux qui traînent c’est pas si grave” tu changerais ton point de vue sur le produit en question ?
Mais pour en revenir au sujet initial, c’est vrai que c’est vraiment bien cette interaction entre la communauté developpant le produit et qu’un organisme serieux comme le ministère (enfin j’espère qu’il sont serieux B) ) se transmettent les infos pour faire vivre OOo et le rendre plus fiable en terme de sécurité.
CVE:
Liste de références des vulnérabilités publiquement connues, répertoriées par l’editorial board du Mitre. Le but est de fournir une base commune d’informations sur les failles de sécurité qui soit disponible dans une forme standardisée pour faciliter leur exploitation et leur intégration par différents outils. http://www.cve.mitre.org/
Ce qui indique bien qu’un logiciel même s’il pourrait être propriétaire devrait néanmoins laisser ses sources à des personnes habilitées (donc sous contrat) afin de placer des rustines rapidement.
Ici, nous voyons un code source ouvert, des patches rapides et efficace et une parfaite coopération avec quiconque.
Pour les macros; ce n’est pas à proprement parler une faille de sécurité.
Comme OpenOffice et StarOffice ont du produire une interopérabilité avec sa concurrente Office, il a bien fallu claqué l’architecture même du programme.
J’utilise occasionellement un traitement bureautique, je ne veux pas d’un truc sucé sur la toile qui soit lourd et vérolé (sucette).
600 € pour une suite … lol
Ben voyons…
Oui, la suite Office est chère, maintenant, tous les programmes élaborés et destinés aux professionnels sont chers (et je parle pas de SAP et autres). Pour parler de ce que je connais, un logiciel d’écriture de script (plutôt bien foutu du reste) coûte 200€ minimum. Et ça reste un Word optimisé (et restrictif) avec des styles prédéfinis. Alors claquer le triple pour avoir en plus un tableur et Powerpoint… c’est lourd, mais pas forcément injustifié.
Et si on n’est pas professionnel, va-t-on me répliquer : d’abord on ne joue pas avec leurs outils B) , et ensuite il y a des offres adaptées à tous, en particulier chez MS (version éducation). Enfin, si vous n’êtes pas content du tarif Office, y’a Works et Outlook Express (pour ne parler que de MS).
Mince, ça m’a énervé.
[/troll]
Je me demande si des opérations de surveillance de sécurité ont été conduites sur les suites MS par les gouvernements, comme dans le cas présent ; et si oui, y a-t’il eu mise en relation avec MS après ?
En tout cas, c’est un très bon point pour OOo, cette rapidité de réaction.
Il est bien de voir des produits se placer de plus en plus en conccurence de MS office, cela ne peux qu’être bénéfique.
Malheureusement aucun produit ne permet de rivaliser serieusement aujourd’hui. De nombreux produits copient les fonctions de base mais pas les fonctions avancées de MS office. Vous avez deja essayez de faire des tableaux croisés dynamiques connectés a une base de donnée avec Open Office? Cette fonctionalité seule est la raison pour laquelle j’ai encore un boot windows au taf. Si quelqu un connait un equivalent je suis preneur =)
Une bonne nouvelle donc mais il reste du boulot.
Edit: 600 € cela parait cher car la pluspart des utilisateurs ne se servent que de 5% d’un MS office, ce qui rejoint ce que je disais précédement. Pour tous ces utilisateurs les alternatives telles que OOO sont parfaites. Si on cherche en revanche un produit capable de rivaliser pour de vrai il n’y en a pas a ma connaissance.
[/center]