Zedeo sous licence libre ou open source ?

Télécharger et regarder les vidéos de Pluzz, Canal+, Youtube ...

Zedeo sous licence libre ou open source ?

Messagede GrosBoulet » Mar 30 Déc 2014 13:58

Bonjour,

Ce message s'adresse principalement à czmaster, qui me semble être le développeur (principal ou unique) de Zedeo.

Avast me fait des misères, et insiste pour supprimer l'exécutable de Zedeo (v0.8). Comme les réponses signées czmaster sur le forum m'inspirent plutôt confiance, et après avoir lu la page "Pour ceux qui ont des problèmes avec Avast cliquez ici" (redir.php?http://neo-net.fr/forum/viewtopic.php?f=34&t=23770), je suis tenté de signaler à Avast qu'il s'agit d'un faux positif. Cela dit, j'ai aussi essayé de tester le fichier zedeo.exe et l'URL redir.php?http://neo-net.fr/forum/tel/?f=Zedeo.exe avec VirusTotal (http://www.virustotal.com). L'URL est déclarée saine mais pas le fichier exécutable, que 23 antivirus sur un total de 56 trouvent louche. Gasp !

D'où ma question : le plus simple, pour clouer le bec aux médisants, ne serait-il pas de donner libre accès au code source de Zedeo, en plaçant le programme sous licence libre ou open source, de façon à ce que des gens compétents en sécurité informatique (dont je ne prétends pas faire partie) puissent donner leur avis ?

Cordialement,

<auto-dérision><second-degré>GrosBoulet</second-degré></auto-dérision>

Windows XP / France / Firefox 28.0
GrosBoulet
 
Messages: 4
Inscription: Mar 30 Déc 2014 13:33

Re: Zedeo sous licence libre ou open source ?

Messagede czmaster » Mar 30 Déc 2014 20:56

Salut,

Je viens de créer une version 0.9 qui semble être plus apprécié par les antivirus, bien que le fonctionnement ne change pas du tout, je pense avoir trouvé une parade.
Je ne souhaite pas communiquer mon code source, même si toi tu es compétent pour en faire l'analyse 99% des utilisateurs n'y comprendront rien

Zedeo est donc bien évidemment gratuit mais pas open source.
Il semble évident (je pense) que Zedeo n'a pas d'effet néfaste sur les ordinateurs où il est installé.
Il reste le fait qu'il pourrait collecté des données à votre insu (trojan), pour vérifier qu'il n'en fait rien vous pouvez utiliser wireshark (à condition que lui aussi ne soit pas détecter comme un virus).

A+

PS : Dernière analyse https://www.virustotal.com/en/file/a1d1 ... 419969718/
2 détections, l'une d'entre elle le détecte comme AutoIt...
Autoit étant l'outil utilisé pour le développer (https://www.autoitscript.com/site/autoit/)


Windows 7 64 bits / France / Firefox 33.0
Administrateur du forum
czmaster
Administrateur du site
 
Messages: 1414
Inscription: Sam 2 Juil 2011 10:41
Localisation: France

Re: Zedeo sous licence libre ou open source ?

Messagede GrosBoulet » Mar 30 Déc 2014 23:35

Bonsoir, czmaster, et bravo pour la rapidité de ta réponse. La version 0.9 provoque effectivement beaucoup moins d'alertes sur VirusTotal (plus que 4/56, contre 23/56 pour la version 0.8), et l'installation de la version 0.9 passe comme une lettre à la poste vis à vis d'Avast. Il y a donc un mieux très net de ce côté-là. NB : c'est l'exécutable de Zedeo proprement dit que j'ai soumis à VirusTotal, moi, et non le programme d'installation.

Après, pour ce qui est de ton refus de communiquer ton code source, je l'accepte, le respecte, et le regrette en même temps. Je l'accepte et le respecte parce que Zedeo est ta création et que cela te donne le droit de décider comment tu le diffuses : gratuitement ou pas, et uniquement sous forme exécutable ou avec le code source. Mais je le regrette aussi parce que la transparence est importante, a fortiori quand un exécutable est signalé comme suspect par plusieurs antivirus (qui peuvent se tromper, certes, on sait tous ce qu'est un faux positif).

L'argument selon lequel 99% des utilisateurs ne comprendraient rien au code source ne me semble pas être une raison valable pour refuser de le diffuser, parce qu'il n'est (heureusement) pas indispensable de comprendre le code source d'un programme pour pouvoir s'en servir. En revanche, pouvoir consulter ce source permet aux gens compétents et motivés (ne fussent-ils qu'1%) de vérifier que le programme ne fait rien de moche à l'insu des utilisateurs, et de faire profiter les 99% restants de leurs conclusions.

Je comprends très bien que l'auteur d'un programme payant ne veuille pas diffuser son code source, pour ne pas permettre à des gens de l'utiliser sans payer. Je comprends aussi très bien que l'auteur d'un programme qui fait des choses moches à l'insu des utilisateurs ne veuille pas que ça se sache. Je comprends moins bien, en revanche, que l'auteur d'un programme gratuit et qui n'a rien à se reprocher ne veuille pas jouer cartes sur table. Je n'arriverais peut-être pas à te convaincre, mais cela ne m'empêche pas d'essayer... :-)

PS : concernant Wireshark et WinPCap (qui ne sont signalés comme des virus par aucun des antivirus de VirusTotal), je t'ai pris au mot, et j'ai fait une capture Wireshark pendant que je téléchargeais une vidéo YouTube avec Zedeo 0.9. Mais l'interprétation des résultats dépasse à la fois mes compétences actuelles et le temps que je peux y consacrer. Et de toute façon, ça ne prouve malheureusement rien : si un programme collecte des infos à l'insu des utilisateurs et les envoie sur le réseau, quelles que soient les intentions de son auteur, il suffit de quelques trames cryptées, noyées dans la masse du trafic. Wireshark sait détecter et indiquer comme telles les trames cryptées, mais il ne sait évidemment pas afficher leur contenu en clair.

A+, et encore bravo pour ta réactivité et la sortie rapide de la version 0.9 !

"GrosBoulet" :-)
GrosBoulet
 
Messages: 4
Inscription: Mar 30 Déc 2014 13:33

Re: Zedeo sous licence libre ou open source ?

Messagede aazerty » Mer 31 Déc 2014 01:59

Bjr ,

> Je comprends moins bien, en revanche, que l'auteur d'un programme gratuit
> et qui n'a rien à se reprocher ne veuille pas jouer cartes sur table.

Perso , je comprends très bien qu'il ne le veuille pas .
Cela fait partie du "secret de fabrication" !!!
( Un peu comme une recette de cuisine :
ajouter un peu de poudre de perlimpinpin , c'est ce qui fait la différence ) .

Slt

Windows XP / France / Firefox 34.0
!!! DUBITATIF !!!
Avatar de l’utilisateur
aazerty
 
Messages: 2086
Inscription: Sam 10 Déc 2011 14:41

Re: Zedeo sous licence libre ou open source ?

Messagede maurice » Mer 31 Déc 2014 09:56

je pense que cela ne soit pas une bonne solution qu'il diffuse le code
car les chaines tv analyserait le code de celui ci
pour mieux mettre dans leur replay une ligne qui bloquerait le logiciel ( et donc donnerait du boulot supplémentaire à l'admin )

Windows 7 64 bits / France / Firefox 34.0
maurice
 
Messages: 9
Inscription: Sam 13 Déc 2014 10:16

Re: Zedeo sous licence libre ou open source ?

Messagede Pulsar33 » Mer 31 Déc 2014 11:09

Bonjour,

@maurice :
Ton argument est majeur et suffit par lui-même à clore le sujet. C'est presque dommage de devoir l'écrire car il est inutile de donner des idées à certains ...

@GrosBoulet :
Même si ton discours n'a aucun poids vis à vis de l'argument de maurice et qui plus est, face au choix qui appartient totalement au concepteur, il me sied de relever au moins une incohérence dans ton argumentaire. Quel est l'intérêt de disposer du code source et de pouvoir le vérifier si l'on n'est pas capable de recompiler soi-même le logiciel ?

Je ne prendrai pas partie sur le pourcentage de gens capables de comprendre le source mais je ne pense pas que nous soyons 1% seulement (oui, j'en fais partie, du moins je le crois). Mais il est clair que tout le monde n'est pas apte à recompiler sur sa propre machine un logiciel censé tourner sur de nombreuses configurations. Avoir le source et utiliser l'exécutable de l'auteur n'apporte strictement aucune garantie. Si c'est donc la politique que tu suis habituellement, je t'incite pour ta propre sécurité à réviser ton jugement.

Cordialement
Pulsar33

Windows XP / France / Firefox 31.0
VCTL v2.0 pour vos traitements vidéos (à découvrir en lisant le Tutoriel).
Mes matériels : PCs MINT 19.3 & XP SP3, 2 x Raspberry PI4, NAS Asustor, Disques Multimédia EMTEC, Tuner TNT TERRATEC, Camescope DV, Caméra 4KVR360
Avatar de l’utilisateur
Pulsar33
 
Messages: 1919
Inscription: Dim 30 Sep 2012 14:23
Localisation: Bordeaux

Re: Zedeo sous licence libre ou open source ?

Messagede GrosBoulet » Mer 31 Déc 2014 14:22

Bonjour,

@Pulsar33 : OK, je reconnais que l'argument de maurice est bon, et que je n'avais pas envisagé cet aspect des choses. Je suis moi aussi content de pouvoir enregistrer grâce à Zedeo des émissions que je n'ai pas pu voir lors de leur diffusion, ou qui me paraissent suffisamment intéressantes pour être conservées au delà de leur période de disponibilité sur les sites de pluzz, replay, etc., donc je vous rejoins tous les deux sur ce point.

En revanche, à mon tour de ne pas être d'accord avec ton argument à toi sur la recompilation : tout d'abord, si tu relis mon message d'hier, je n'ai à aucun moment parlé de lire le code source sans pouvoir le recompiler. C'est toi qui introduis cette distinction. czmaster dit dans son message du 30/12 à 20h56 que Zedeo est développé avec AutoIt, qui est un programme gratuit et très simple à installer et à utiliser. Pas besoin d'avoir fait Polytechnique pour recompiler un script .au3, qui fonctionnera sur toutes les configurations ciblées par AutoIt (XP, 2003, Vista, 2008, Windows 7, 2008 R2, Windows 8 et 2012 R2, pour la version actuelle d'AutoIt), ni pour comprendre ce qu'il fait. Le 1% totalement arbitraire que je mentionnais est donc très inférieur à la réalité.

Ensuite, la recompilation ne sert qu'à obtenir un exécutable correspondant à un source donné. Il n'y a pas besoin de recompiler pour lire le code source et regarder dedans s'il y a des parties qui font autre chose que ce que le programme est censé faire (genre collecter des infos à l'insu de l'utilisateur, ou installer des virus, par exemple). Mais je suis d'accord avec toi que lire le code source d'un programme, pour s'assurer qu'il est clean, tout en utilisant un exécutable téléchargé, non recompilé soi-même, donc qui ne correspond pas forcément au code source que l'on a lu, ne serait effectivement pas logique du point de vue sécurité. Ma prise de position était due au fait que certains antivirus signalent Zedeo comme suspect (peut-être à tort, j'en conviens volontiers). Pour le reste, c'est à dire pour ce qui est de l'intérêt de la transparence et de l'accès aux sources en matière de sécurité, les forums consacrés au logiciel libre sont pleins de discussions passionnées et passionnantes, que je ne prétends pas reproduire ici. A chacun de se faire son opinion.

Cordialement, et bonne année 2015 à tous.

GrosBoulet :-)
GrosBoulet
 
Messages: 4
Inscription: Mar 30 Déc 2014 13:33

Re: Zedeo sous licence libre ou open source ?

Messagede Pulsar33 » Mer 31 Déc 2014 15:10

Pas de problème GrosBoulet,

Il me semble donc en résumé que nous sommes d'accord sur bon nombre de points :
- L'auteur décide de plein droit de la manière de diffuser son oeuvre
- Nous ne savons pas combien d'utilisateurs sont capables de comprendre le source mais ce n'est pas la majorité
- Nous ne savons pas combien d'utilisateurs sont capables de le recompiler mais ce n'est pas la majorité non plus
- Être capable de comprendre le source ne sert à rien si l'on ne sait pas le recompiler
- Et par dessus tout, fournir le source exposerait l'auteur (et les utilisateurs) à des contremesures pénalisantes.

Je pense qu'on a fait le tour du sujet.
Ah non, j'oubliais : personne n'est obligé d'utiliser un logiciel qui ne lui convient pas.

Bonne soirée et bon réveillon.
Pulsar33

Windows XP / France / Firefox 31.0
VCTL v2.0 pour vos traitements vidéos (à découvrir en lisant le Tutoriel).
Mes matériels : PCs MINT 19.3 & XP SP3, 2 x Raspberry PI4, NAS Asustor, Disques Multimédia EMTEC, Tuner TNT TERRATEC, Camescope DV, Caméra 4KVR360
Avatar de l’utilisateur
Pulsar33
 
Messages: 1919
Inscription: Dim 30 Sep 2012 14:23
Localisation: Bordeaux

Re: Zedeo sous licence libre ou open source ?

Messagede czmaster » Mer 31 Déc 2014 16:12

Salut,

Merci Pulsar33 pour ce résumé de la situation que j'approuve.

J'ajouterai qu'il ne faut pas trop faire confiance aux antivirus, ni pour les virus qu'ils détectent (parfois à tord), ni pour les programmes qu'ils considèrent comme sûrs.

Entre temps Avast considérait à nouveau mon logiciel comme un virus, cette fois ci j'ai juste changé le numéro de version pour que ça passe, une autre fois j'avais changé la taille de l'icone, bref si j'avais voulu être malveillant j'aurai pu sans problème berner l'antivirus. La détection des virus semble plus qu'aléatoire ...

En parlant d'antivirus, il n'y a pas si longtemps j'ai entendu le cas d'une entreprise où un utilisateur avait téléchargé un virus (à son insu), qui a crypté tous les fichiers de l'entreprise, la solution aurait été de payer une rançon.
Pourtant cette entreprise avait un antivirus professionnelle et je suis quasi sûr que cet antivirus aurait détecté Zedeo comme un virus ...

Bon réveillon à tous :)

Windows 7 64 bits / France / Firefox 33.0
Administrateur du forum
czmaster
Administrateur du site
 
Messages: 1414
Inscription: Sam 2 Juil 2011 10:41
Localisation: France

Re: Zedeo sous licence libre ou open source ?

Messagede racacax » Mer 31 Déc 2014 16:35

Bonjour,
De plus, ça pourrait empirer, en laissant le source, la signature numérique serait presque identique et si une personne malveillante se sert du code pour en faire un virus, les antivirus detecteraient Zedeo comme un virus plus souvent.

Android / France / Safari 4.0
Avatar de l’utilisateur
racacax
 
Messages: 870
Inscription: Mer 13 Nov 2013 17:57

Suivante

Retourner vers Zedeo

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron