Publié par Guillaume Champeau, le Mercredi 26 Juin 2013

Comment la Gendarmerie a envoyé bouler Microsoft et McAfee

Après un échange de courriers dont Numerama a pris connaissance, la Gendarmerie a refusé de mettre en place une solution antivirus McAfee achetée par la centrale d'achat public de l'Etat, parce que Microsoft considérait qu'elle obligeait à acheter une licence client (CAL) de Windows Server pour chaque poste utilisateur, même sous Linux. La Gendarmerie a prévenu tous les ministères, et demande une solution antivirus basé sur un serveur Linux.

L'anecdote va réjouir les partisans du logiciel libre, et vient conforter les positions de la Commission Européenne qui a demandé cette semaine aux états membres de faire des économies grâce aux solutions ouvertes. La semaine dernière, selon des documents obtenus par Numerama, la Gendarmerie Nationale a refusé de mettre en oeuvre la solution anti-virus McAfee achetée par l'UGAP, la centrale d'achat public chargée de faire réaliser des économies à l'Etat, en mettant en cause la politique de licences Windows de Microsoft.

Le 14 février 2013, la Direction Générale de la Gendarmerie Nationale a écrit au siège français de l'éditeur McAfee, pour s'inquiéter des conditions de mise en oeuvre de sa solution anti-virus. En effet, celle-ci repose sur une console centralisée (appelée "ePO") à installer sur un serveur Microsoft Windows 2008 Server, puis les postes de travail doivent communiquer avec cette console via l'intranet, à travers le protocole HTTPS. Or, la Gendarmerie, qui a adopté la distribution Linux Ubuntu pour ses postes de travail, se demandait si une telle architecture n'imposait pas d'acheter une licence d'accès client (CAL) Windows 2008 Server pour chaque poste ; ce qui ruinait l'intérêt économique d'avoir migré vers Linux. "

Le 11 mars 2013, McAfee a répondu à la Gendarmerie qu'il n'était a priori pas nécessaire d'acheter des licences CAL, puisque l'utilisation d'une interface Web devait entrer dans les exceptions permises par Microsoft. Il renvoie même à cette page de son site internet, qui confirme que "utiliser ePO ne devrait pas affecter le nombre de Licences d'Accès Client Microsoft (CALs) dont vous aurez besoin pour Windows Server". Néanmoins, Microsoft rappelait que "seul Microsoft peut vous donner une réponse définitive".

Le 2 avril 2013, la Gendarmerie a donc écrit par Microsoft pour lui demander son avis. "Cette problématique n'est pas propre à McAfee mais bien à tous les éditeurs utilisant une "console" s'appuyant sur le système d'exploitation Windows 2008 Server", prévenait la Gendarmerie.

Parvenue le 23 mai 2013, la réponse de Microsoft est claire. "Si l'utilisation de la solution de protection antivirale requiert l'installation sur des serveurs du produit Windows Server et que les utilisateurs ont accès à ce dernier, une CAL devrait être attribuée à chaque poste de travail". L'exception pour les accès web ne vaut que pour les applications web accessibles au public, et non pour les applications intranet.

La semaine dernière, le 21 juin 2013, le chef du service des technologies et des systèmes d'information de la sécurité intérieure, le général Bernard Pappalardo, a donc écrit au directeur interministériel des systèmes d'information et de communication, en envoyant copie de son courrier à tous les ministères. "Depuis de nombreuses années, la gendarmerie a essayé de s'affranchir de ce type de dépendance et de promouvoir le logiciel libre pour son système d'information (postes de travail et serveurs)", rappelle le général. "C'est pourquoi elle ne déploiera pas la solution retenue à l'UGAP pour la protection de ses postes de travail et a lancé une consultation préalable relative à l'acquisition d'une solution antivirale comprenant obligatoirement une console d'administration sous Linux."

Sous-entendu : prière de suivre l'exemple.

Publié par Guillaume Champeau, le 26 Juin 2013 à 17h17
 
58
Commentaires à propos de «Comment la Gendarmerie a envoyé bouler Microsoft et McAfee»
Inscrit le 19/10/2009
6220 messages publiés
Sans déconner, vous êtes allé voir les tarifs affichés par l' UGAP ?

Ils prennent quoi comme drogue, pour afficher ces tarifs-là ?
Inscrit le 26/06/2013
1 messages publiés
Alors oui, j'y suis allé MAIS surprise: alors que les tarifs de la licence McAfee EndPoint Protection sont accessibles (et abordables) BLACK-OUT TOTAL sur les tarifs Microsoft. C'est ici si vous voulez jeter un oeil.
Inscrit le 21/11/2011
557 messages publiés
A la fois... dans les solutions endpoints, dans ce cas, il suffit de se passer du serveur et d'installer les clients en mode non gérés... mais le savent-ils ? Ok, on pert l'intêret du centralisé mais au moins on paye pas cette saleté d'invention de licence CAL...

En passant, la CAL pour le service publique est à environ 6 euros la licence CAL, à multiplier donc par le nombre d'utilisateurs potentiels et à quoi on ajoute également également une licence d'accès matériel qui vient se cumuler à la CAL concernant les périphériques.
Inscrit le 03/12/2003
752 messages publiés
Bravo à la gendarmerie, qui ne se contente pas de déclarations de façade.
Inscrit le 20/09/2009
5728 messages publiés
+1

Et bravo à elle pour ses économies, son engagement pour les logiciels libres, et pour ne pas avoir aggravé le déficit commercial de la France comme l'UGAP.
Inscrit le 16/06/2009
690 messages publiés
Aller, encore un effort et la gendarmerie française sera peut être la première administration publique à utiliser ClamAV...
Inscrit le 24/02/2009
2217 messages publiés
ClamAv ne fait pas de scan en temps réel cad internet ou clé usb ou courriel.

ClamAv me sert juste a vérifier au coup par coup et ne pas transmettre un truc vérolé.
Inscrit le 21/02/2006
4173 messages publiés
reste que vérolé un linux il en faut
Inscrit le 03/12/2003
752 messages publiés
Il suffit de donner des droits admin/root à un utilisateur.
Et là ça se vérole très bien.
Inscrit le 11/08/2010
221 messages publiés
En même temps qui fait ça ?
C'est limite si l'administration y a le droit...
Inscrit le 19/11/2009
10 messages publiés
En fait on un programmeur de virus s'en fout. Avoirs l'accès root permet d'installer le virus définitivement et profondément sur la machine. Mais si vous visez le vol de données, un simple accès utilisateur suffit largement.
Tous les LINUX que j'ai du dévéroler au moment où j'étais encore technicien réseau étaient atteints sur des comptes utilisateurs, aucun en root.
Inscrit le 23/11/2011
159 messages publiés
Si ClaamAv peut faire du scan en temps réel sur les emails mais côté serveur (au niveau du MTA ou du MDA).
Inscrit le 06/11/2012
381 messages publiés
Sur les serveurs de fichier aussi, c'était beaucoup utilisé sur les serveur samba, utilisé par des clients windows.
Inscrit le 05/03/2008
805 messages publiés
il faut coupler clam sentinel à clam av, et là tu as le scan en temps réel! Super produit hélas trés peu connu!
Inscrit le 29/05/2012
8 messages publiés
En même temps, quand la gendarmerie a vue que la console s'appelait ePO, si proche du tour de France, ça ne le faisait pas.
Inscrit le 28/11/2008
3151 messages publiés
Inscrit le 13/08/2010
6275 messages publiés
Inscrit le 28/11/2008
3151 messages publiés
Avira propose des solutions antivirus multiplateforme, et puis c'est une société allemande ça évite d'envoyer des pépètes de l'autre côté de l'Atlantique.

MAIS POURQUOI ?! Pourquoi une centrale de gestion dans des composants imbriqués de Microsoft ? Il leur reste un peu de moquette dans leurs ministères ou bien c'est déjà tout parti en fumée ?!

'tin. En 10 heures je leur fais un truc tip-top, libre et performant à base de PHP et qui remplirait les mêmes fonctions. Vraiment. Et qui couterait 10 fois moins que leurs bousins de filtrage URL même pas Hadopi-proof.
Inscrit le 05/02/2010
118 messages publiés
Y'a besoin d'antivirus sous Linux ?
Inscrit le 01/06/2013
162 messages publiés
Oui. Tu crois que Linux est exempt de saloperies ?
Inscrit le 21/11/2011
557 messages publiés
Il en est pas exempt, mais pour se faire infecter faut quand même cumuler conneries et pas de bol en plus de tomber sur la fameuse saleté...
Inscrit le 04/05/2009
765 messages publiés
Sauf que là ce n'est pas des utilisateurs lambda que ça concerne mais une administration entière, le risque sont bien plus élevés, et ce n'est potentiellement plus une simple petit pirate qui tentera de leur balancer des saloperies, mais surement des groupe un peu plus sournois.

Si ta banque te dis dit:
"non monsieur non n'avons pas de pare feux ni d'antivirus pour protéger vos économie géré automatiquement pas notre système informatique, mais nous utilisons exclusivement Linux comme système d'exploitation"
Es-tu plus rassuré que si on te dit
"nous utilisons windows, avec 4 proxy 12 firewall, 10 antivirus" ?
Inscrit le 23/12/2011
346 messages publiés
Clairement oui, et je me casse de cette banque si elle utilise autant d'AV... Leur DSI est donc très très incompétent.

Et personne n'a dit de ne mettre ni proxy ni firewall sous Linux hein.
Inscrit le 20/09/2009
5728 messages publiés
10 antivirus ? Je quitte cette banque au plus vite. Un "antivirus" est la pire des nuisances sur un PC et c'est aussi un vecteur d'infection.

Tu peux essayer sur ton corps si tu veux: va te shooter avec tous les vaccins contre la grippe de ces 20 dernières années et ensuite essaie de voir si t'es immunisé contre le SIDA...

Inscrit le 26/06/2013
1 messages publiés
Lis ce tuto et tu verras que même si bsd est plus sécurisé que linux , c'est quand même chaud la sécurité :
http://blog.madpowah...jail/index.html
Inscrit le 20/08/2010
810 messages publiés
En tout cas en 20 ans, j'ai bien moins vu de saloperies sous GNU/Linux que sous Windows.
Inscrit le 16/07/2004
913 messages publiés
Et sur OpenBSD,il y en a eue que deux vulnérabilité découverte en 19 ans,comme quoi...
Inscrit le 26/06/2013
3 messages publiés
C'est 2 vulnérabilité à distance en 16 ans et c'est sur la version installée par défaut d'OpenBSD cad un truc qui sert à faire ben hum .... rien
Inscrit le 16/07/2004
913 messages publiés
Toujours est-t'il qu'il s'agit d'un os éprouvé en matière de sécurité.
Inscrit le 08/03/2013
28 messages publiés
Le top 3 des vecteurs d'infection:
1. documents pdf
2. flash
3. java
Tous sont multiplatefromes et donc parfaitement compatibles avec Linux. Faut arrêter avec ce mythe selon lequel Linux serait exempt de virus...
Inscrit le 23/11/2011
159 messages publiés
Sous Linux tu ne peux pas faire grand chose avec les failles provenant de ses logiciels.
Inscrit le 27/06/2013
2 messages publiés
flash = on peut avoir un linux qui tourne sans flash.
java = idem.

documents pdf = ok le document peut être vérolé, la gendarmerie a besoin de l'assainir. Mais ça ne veut pas dire que Linux soit concerné directement (on ne fait que renvoyer un doc déjà contaminé.
Inscrit le 23/11/2011
159 messages publiés
Même si il était exempt de virus la gendarmerie ne peut pas se permet d'envoyé à quelqu'un un document qui contient un virus même si chez eux le virus n'a pas eu d’effet..
Inscrit le 20/11/2004
1999 messages publiés
@Guillaume, grosse erreur de distraction dans l'article, je te cite, et je souligne l'erreur :

McAfee a répondu à la Gendarmerie qu'il n'était a priori pas nécessaire d'acheter des licences CAL, puisque l'utilisation d'une interface Web devait entrer dans les exceptions permises par Microsoft. Il renvoie même à cette page de son site internet , qui confirme que "utiliser ePO ne devrait pas affecter le nombre de Licences d'Accès Client Microsoft (CALs) dont vous aurez besoin pour Windows Server". Néanmoins, Microsoft rappelait que "seul Microsoft peut vous donner une réponse définitive".


Ben non, c'est l'éditeur d'AV qui rappelle que la réponse définitive appartient à un tiers, Microsoft, dont tu cites la réponse plus bas dans la page
Inscrit le 23/10/2009
120 messages publiés
Microsoft demande une licence pour que chaque client puisse se connecter à un serveur windows Server????
Mais WTF???
Inscrit le 21/11/2011
557 messages publiés
Et une autre pour tout matériel...
Inscrit le 23/10/2009
120 messages publiés
Ils sont bons Microsoft. Et ça gène pas les DSI des conditions commerciales telles?
Inscrit le 26/06/2013
3 messages publiés
C'est clairement pas les CAL qui plombent le Business case surtout pas quand tu es déja en tout MS
Inscrit le 08/08/2012
1843 messages publiés
Je travaille pour une grande banque française, ils sont pris tous leurs outils de gestion de projet chez IBM, ils sont donc :
- hors de prix
- pas pratiques
- instables

Les responsables d'achats des DSI doivent se faire rincer abondamment si tu veux mon avis.

Pour palier ce problème, il suffirait que ce soit une commission composée de chefs de projets qui décide des outils utilisés.
Inscrit le 10/07/2009
223 messages publiés
"Les responsables d'achats des DSI doivent se faire rincer abondamment si tu veux mon avis."

C'est exactement ça.
Le jour ou j'ai eu à m'occuper de l'informatisation complète d'une PME de 20 postes, on m'a clairement fait des propositions de vacances-pieds-dans-l'eau-tous-frais-payés.

Pareil pour un ami chef d'un service informatique d'une boite d'une centaine d'employés.

Je te laisse imaginer ce qu'on propose à un DSI d'une grosse boite...
Inscrit le 26/06/2013
3 messages publiés
Non c'est CAL user OU CAL device
Inscrit le 10/08/2010
1010 messages publiés
Ca dépend du type de serveur / service.

Pour un serveur web, non par exemple. Pour du TSE oui

Dans ce cas précis, la partie serveur de l'antivirus nécessite une licence windows par clients


Exactement comme certains logiciels serveurs demandent une licence par processeur (virtuel ou non d'ailleurs souvent)
Inscrit le 21/04/2009
865 messages publiés
Bravo à la Gendarmerie.
Inscrit le 18/09/2012
121 messages publiés
Whaou !
Pour une fois une administration française n'est pas trop à la ramasse.
Chapeau bas, ça fait plaisir de lire ça.
Inscrit le 19/01/2010
9 messages publiés
"la Gendarmerie a donc écrit par Microsoft ..." Est-ce qu'un employé de Microsoft tenait la main du gendarme. Mais ce "journaliste" ne relit pas ses articles. .... Faut croire que non! Pas un article sans coquille, cela devient grave.

Cependant moi je dis BRAVO à la gendarmerie.
[message édité par cne007 le 26/06/2013 à 21:09 ]
Inscrit le 03/09/2012
830 messages publiés
La gendarmerie dit DTC à l'UGAP.


Mangez en, c'est bon.
Inscrit le 09/05/2013
2 messages publiés
De toute façon :

- Linux n'a pas besoin d'Antivirus , sauf pour les fichiers qui viennet d'un poste Windows et les utilisateurs Windows, on les emm... !

- Mc Affee ne fonctionne pas sous Linux d'après ceux qui l'ont essayé

- ClamAV fonctionne mieux mais encore une fois , pas besoin d'antivirus sous Linux
Inscrit le 05/11/2008
421 messages publiés
Encore des idée recu qui ont la vie dur ... Autant que " y'a pas de virus sur mac" . Y'en a moins c'est un fait. Mais je t'assure qu'il y en a quand meme pas mal pour nux.
Inscrit le 23/11/2011
159 messages publiés
Non il y en a quasi pas. Il devienne vite obsolète, ils sont pas bien méchant et n'affecte pas toutes les distributions (avantage de de la fragmentation de Linux.).

Mais si Linux monte en taux d'utilisation il y en aura de plus en plus.
Inscrit le 27/06/2013
2 messages publiés
le sandboxing arrive avant l'année du desktop, on est bons, surtout que l'année du desktop n'arrivera jamais
Inscrit le 03/12/2003
752 messages publiés
C'est sûr qu'il n'y a pas de virus/malwares sous linux, pas comme android.
Oh, wait...

C'est sûr qu'il n'y a pas de virus/malwares sous les BSD, pas comme sous MacOSX.
Oh, wait...
[message édité par fredoush le 27/06/2013 à 16:54 ]
Inscrit le 20/09/2009
5728 messages publiés
Tout système a des failles, mais croire que Kaspersky, McAfee, Bitdefender, Avira, ESET, Norton, ou d'autres apportent un début de solution, c'est faire une grave erreur. Bien souvent c'est même l'antivirus qui est la pire nuisance sur un PC allant jusqu'à bloquer le démarrage d'une machine suite à une mise à jour ou servir de vecteur d'infection.
http://www.pcinpact....eeye-yellow.htm
http://fr.wikinews.o..._de_PC_en_Chine

Les gendarmes n'installent pas n'importe quoi sur leur poste, et ils ont des mises à jour régulières. Cela vaut bien mieux qu'un espèce de failware de chez McAfee.
Inscrit le 03/12/2003
752 messages publiés
Allons, tu m'as bien compris : il faut arrêter de raconter des conneries sur les virus et linux ; ce qui est répété par des gens qui manifestement n'utilisent pas linux et ne comprennent pas grand chose au bouzin est simplement ridicule.

* Sous linux il n'y a pas de malwares.
--< pas BEAUCOUP à la base, mais des dizaines de milliers depuis android. Et il y en a toujours eu. D'ailleurs les premiers virus ont été créés sur UNIX.

* Sous linux les malwares ça fait pas bobo.
--< essaie en ROOT, c'est plus facile de péter un linux qu'un windows (puisque sous linux on est VRAIMENT root) ou même en simple utilisateur (pour te faire piquer tes données)

* Sous linux les malwares ne restent pas longtemps.
--< essaie un rootkit.

* Sous linux il n'y a pas besoin d'antivirus.
--< comme sur tout système, si l'utilisateur comprend ce qu'il fait et que l'OS est à jour et exempt de faille.
Sur ce dernier point linux a effectivement un avantage considérable par rapport aux systèmes proprio, mais de là à dire que c'est inutile... il y a un sacré ravin.

Bref, Linux j'adore, c'est super, ça a plein de qualités, et ça n'a vraiment pas besoin d'affirmations ridicules de cet acabit...
Inscrit le 05/10/2011
2603 messages publiés
"* Sous linux il n'y a pas de malwares.
--< pas BEAUCOUP à la base, mais des dizaines de milliers depuis android. Et il y en a toujours eu."

C'est quoi le rapport virus sous android / Linux ? Je doute que ces virus touchent linux... pas besoin d'aller jusqu'au noyau pour trouver des failles.

"Sur ce dernier point linux a effectivement un avantage considérable par rapport aux systèmes proprio, mais de là à dire que c'est inutile... il y a un sacré ravin."

Il y a vraiment des antivirus utiles sous Linux ? Je veux dire, des trucs qui te détectent des malwares spécifiques à Linux ?
[message édité par milord le 29/06/2013 à 18:45 ]
Inscrit le 01/08/2006
123 messages publiés
Faut McAfee dispose d'un version pour Linux ou Mac et qui fonctionne très bien.
Leur produit MOVE s'inferface avec des SVA VMWARE sous Linux sans problèmes..
Le seul soucis c'est que le server ePo ainsi que la Base SQl rattachée doivent être sous WinServ 2008 donc du Microsoft.
Apres la console web est incluse dans le produit. et ça ca marche partout.
Inscrit le 09/02/2012
46 messages publiés
Bravo à la Gendarmerie.
Inscrit le 10/10/2010
1767 messages publiés
Circulez !. Dans l'Histoire, l'utilisation de McAfee est payée pour rien.
Inscrit le 27/06/2013
2 messages publiés
.
[message édité par tergat le 27/06/2013 à 21:26 ]
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Juin 2013
 
Lu Ma Me Je Ve Sa Di
27 28 29 30 31 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
1 2 3 4 5 6 7