TOOT Chalec

Au fait, la CNIL utilise ArchLinux. 😉

Dans le cadre de ses missions de contrôle, la CNIL peut procéder à des constatations en ligne. La forme la plus formelle est alors d'utiliser une machine virtuelle à usage unique, ceci afin de s'assurer que rien ne vienne « polluer » les constatations.

Afin d'éviter d'installer un nouveau système d'exploitation à chaque contrôle, une machine virtuelle « de référence » est créée et exportée. Ainsi, pour un contrôle, il suffit d'importer une copie de cette machine pré-configurée et de procéder à une mise à jour du système. Traditionnellement, cette machine virtuelle tournait sous Debian GNU/Linux.

Mais les problèmes sont arrivés. Il a été reproché aux contrôles en lignes d'utiliser une version trop ancienne de Firefox, ce qui a amené à l'installer via Flatpak plutôt que depuis les dépôts du système, ce qui a complexifié la création de la machine virtuelle de référence. Mais le problème principal a été le conflit entre Debian et Virtualbox qui a notamment mené au retrait des paquets officiels des additions invité (VirtualBox's Guest Additions). Si tout fonctionnait du temps où ils étaient officiellement empaquetés, l’installation manuelle posait des problèmes aussi bien en complexification de la création de la machine de référence que de fonctionnalités qui pouvaient casser sans prévenir.

Face à cette situation, Debian a été abandonnée au profit d'ArchLinux. La dernière version de Firefox y est disponible dans les dépôts officiels sans avoir besoin d'utiliser les dépôts de test et les additions invité de VirtualBox y sont officiellement empaquetées et donc pleinement fonctionnelles.

Comme vous pouvez vous en douter, la création de cette machine virtuelle de référence est semi-automatisée à l'aide de scripts qui, bien entendu, sont publiquement disponibles.

https://github.com/LINCnil/scripts-vm-cel

@rodolphe Pour ceux qui l'auraient oublié, Virtualbox contient des logiciels privateurs. Une licence de logiciel libre pour du logiciel d'installation de logiciels privateurs, voilà un piège de plus en plus répandu.
replies
1
announces
0
likes
0

@avron Pour ceux qui l'auraient oublié, le but ici n'est pas d'inciter les gens à utiliser un logiciel mais d'améliorer la transparence sur les procédures de contrôle d'une autorité administrative, et donc de contribuer au principe du contradictoire.

https://fr.wikipedia.org/wiki/Principe_du_contradictoire_dans_les_proc%C3%A9dures_juridictionnelles_en_France

@rodolphe Merci pour les informations que je trouve intéressantes. La CNIL publie les scripts sous license CeCill c'est clairement une invitation à les utiliser et la possibilité de les modifier. Donner la possibilité de reproduire ce que fait la CNIL (le contradictoire l'impose-t-il vraiment?), en un sens c'est très bien, mais je trouve important de mentionner que cela amène à utiliser des logiciels privateurs.

@avron Alors, les contrôles en lignes existaient bien avant les scripts précités. À l'époque, la création d'une nouvelle VM de référence était totalement manuelle et les agents en charge de cette création consignaient tout dans un document. Lorsque cette VM est utilisée dans une procédure de contrôle, le document (parfois deux documents en vrai) est joint au procès-verbal afin que l'organisme contrôlé puisse être informé de ce qui a été fait par les agents pour récolter les éléments de preuves. Et là oui, le contradictoire l'impose dans la mesure où l'environnement de collecte des preuves peut influer sur ladite collecte.

Un jour, afin de ne plus perdre un temps monstrueux pour chaque création d'une VM de référence, certaines étapes (mais pas toutes) ont été scriptées. En conséquent, le document existe toujours, mais mentionne juste l'utilisation des scripts en précisant bien entendu la version utilisée ainsi que l'URL de téléchargement.

J'insiste lourdement le fait que ces scripts ne sont qu'une automatisation d'une chose plus grande autour car ce n'est pas sans conséquence. Déjà, le résultat de l'exécution des scripts varie en fonction de la date de leur exécution, notamment à cause des mises à jours des paquets, donc ce n'est absolument pas destiné à être reproductible. Et sur la réutilisation, on est quand même dans un domaine de niche (mission régalienne) avec un lien très étroit au matériel et aux logiciels utilisés par la CNIL, donc absolument rien n'est prévu pour une utilisation plus large de ces scripts.

Bref, ces scripts sont publiés uniquement pour expliquer aux organismes contrôlés la manière dont ont été collectées les preuves durant la procédure de contrôle (respect du contradictoire) ainsi que de faire un effort de transparence auprès du public. Rien de plus.