• [^] # Re: Bravo

    Posté par . En réponse à la dépêche Rétablissement de l'« auto-attestation » pour les logiciels de caisse, l'aboutissement d'une année de mobilisation. Évalué à 3.

    L'administration, le législateur, ... (je n'insiste pas ;-) ont tout le loisir pour se pencher en détail sur la solution proposée.

    C'est le boulot du certificateur, que la proposition de loi permet de zapper.

    Je ne suis pas convaincu que ces mêmes administration/législateur puissent examiner pareillement le code source d'une application LL

    C'est le boulot du certificateur, qui lui a accès au code source.

    Il ne faut pas perdre de vue l'objectif. L'objectif, c'est qu'un inspecteur puisse relativement facilement vérifier que le logiciel installé sur la caisse respecte bien les obligations d'un logiciel de caisse. L'inspecteur n'est pas un informaticien, il a une formation en compta et en droit, il ne peut pas examiner le code source, compiler, calculer un hash, etc. Il se pointe devant l'ordi et demande "Montrez-moi votre logiciel de caisse", et il lui faut un moyen de voir immédiatement s'il y a un truc louche ou non.

    Avec un logiciel propriétaire certifié, il va trouver un onglet "a propos" dans lequel il va trouver la version, des clés, des numéros de certification. Il peut partir sur le principe que le binaire a été fourni par l'éditeur, puisqu'il serait particulièrement complexe pour un commerçant de bricoler le binaire.

    Avec un logiciel libre, tu peux faire "A propos" et regarder ce qu'il y a dedans, tu n'as pas réellement de certitude que c'est bien la version proposée par l'éditeur. Il est à la portée d'un commerçant un peu porté sur l'informatique de recompiler le logiciel—disons, de recompiler une version que quelqu'un d'autre a bricolée, puisque j'imagine mal un restaurateur patcher nuitamment son logiciel de caisse. La vérification est donc plus complexe, puisqu'il faut un hash du binaire à comparer aux versions auto-certifiées de l'éditeur. Une telle manipulation n'est pas à la portée d'un inspecteur, qui ne va avoir que quelques minutes à consacrer à cette vérification, et seulement accès à la souris.

    Est-ce que le prix à payer pour l'utilisation de logiciels de caisse libres ne risque pas une séquestration du matériel pendant plusieurs semaines/mois pour expertise? L'auto-certification règle le problème du point de vue de l'éditeur, mais elle ne facilite pas réellement les contrôles, à moins que l'éditeur puisse aussi certifier la conformité des versions installées sur les machines (peut-être via une procédure en ligne?).