Nouvelle contrainte pour les auto-entrepreneurs, le logiciel obligatoire

Pas un logiciel libre dans la liste

Car aucun un éditeur de logiciel libre ne s'est intéressé à ça ?

A se pisser dessus de rire...

entre le fait de pouvoir le faire a la main mais surtout de croire que ça arrete quoi que ce soit... suffit de pas rentrer les donnée dans le logiciel...

Dans le cadre professionnel nous sommes déjà en train d'équiper un certain nombre de clients des mises à jour certifiées. La mesure n'est d'ailleurs pas idiote : empêcher la modification ultérieure de données d'encaissement principalement par les commerçants. Il faut bien avouer que les logiciels de caisse chez les commerçants permettent de faire des trucs pas forcément très avouables.

Maintenant, chez les auto-entrepreneurs dispensés de TVA, c'est vrai que ce n'est pas très logique. Cela dit, le type qui fait ses factures à la main, normalement il les fait sur un facturier avec un carbone censé être la copie conforme de la facture donnée au client (je dis bien censé, pas taper). Tandis que celui qui fait ses factures sous Word, rien ne l'empêche d'éditer la facture a posteriori et de présenter des duplicatas de facture qui n'ont pas grand chose à voir avec les factures données au client.

Je ne vois pas comment il peut y en avoir. L'Etat demande un logiciel certifié qui empêche la modification des données. Si ton logiciel est librement modifiable, il ne peut pas y avoir de certification : tu modifies le code source, tu désactives la routine de certification, tu recompiles. Et avant un contrôle, tu remet en place la routine de certification.

Wahou, autant d’incompétence dans un seul paragraphe, joli.

Tu vas donc pouvoir expliquer comment tu fais pour certifier un logiciel dont le code source est librement modifiable.

Déjà : Libre != librement modifiable.
Après la compilation c'est so 2000, tu vas me parler de C et de malloc bientôt.
Ensuite : tu sais les logiciels qui marchent seul dans leur coin c'était y a des années, des moyens de savoir que le code du logiciel a été modifié ou non il y en a des centaines, et des autorités de certifications pour X sujets il y en a pas mal de libres.

Tu me fais penser à ceux qui disent qu'un logiciel de chiffrement ne peut pas être libre.

Là on parle d'une certification d'Etat, donc un problème administratif et non technique.

Wikipedia m’aurait menti ? Un logiciel libre est un logiciel dont l’utilisation, l’étude, la modification et la duplication en vue de sa diffusion sont permises, techniquement et légalement.

On ne demande pas de savoir si le code du logiciel a été modifié ou pas, on demande à ce que le logiciel inclue des dispositifs qui interdisent la modification ultérieure des données. A partir du moment où le code source est librement accessible et modifiable, rien n’empêche à quelqu’un de désactiver ces mécanismes ou de les remplacer par des mécanismes permettant la modification ultérieure.

Comment, c’est pas bien ? Ben non, justement. Le mec qui fait ça, c’est pour filouter le fisc. Alors le fait que ce ne soit pas bien de modifier le code source, tu parles s’il s’en tape.

Tu me fais penser à ceux qui font des analogies trop rapides sans avoir lu de quoi il s’agissait.

On parle du fait que l’état délivre une certification à un logiciel. Donc le fait que l’éditeur du logiciel a déposé un dossier décrivant les mécanismes de protection et s’engageant à les mettre en oeuvre. Ce que ne peut bien entendu pas garantir un éditeur de logiciel libre.

C’est bizarre, mais mon analyse est partagée par Framasoft : Le premier temps a confirmé ma lecture pessimiste de la loi. Un logiciel libre est considéré comme altérable, le but est bien de les interdire, ceci a été confirmé à la reprise du second temps par notre interlocuteur qui venait de prendre 10 minutes pour vérifier l’information.
Mais probablement qu’ils n’y connaissent rien non plus.

Tu certifies le binaire compilé et basta.

D’où mon “tu sais les logiciels qui marchent seul dans leur coin c’était y a des années”.
Tu fais un logiciel libre qui permet d’enregistrer dans une base externe tes données, et là tu peux y faire tous les contrôles que tu veux. Je te fais une appli web qui te fais la même chose de façon totalement sécurisée (et oui qui empêche les saisies ultérieures) en quelques dizaines (bon allez une centaine) de jours / homme. Et qu’avec du libre.
Tu peux même héberger la base et déporter les contrôles dans une appli du ministère, mais bon ça ça serait utiliser intelligemment nos impôts, plutôt que de payer des mecs à certifier du propriétaire,faut pas charrier, c’est pas dans les moeurs.

OK.
Le binaire compilé d'OpenConcerto est certifié.
Je récupère le code source d'OpenConcerto, je modifie ce qui va bien et c'est cette version modifiée que j'utilise.
On imagine que les mécanismes de protection sont constitués de clés publiques/clés privées dont la clé privée est en possession de l'éditeur du logiciel uniquement, qu'il l'a mise dans le code source sous une forme ou une autre. A partir du moment où tu as accès au code source, tu as accès à tous ces mécanismes : tu as accès à la clé privée.

(sinon, malheureux, tu vas te faire lyncher par Tass_ qui trouve que "compiler" c'est has been).

Tu ne mets pas la clé privée dans ton code mais sur un serveur, et le logiciel doit la demander à chaque fois au serveur.

En fait t’as hiberné depuis l’arrivée d’Internet ?

C’est absurde. C’est un problème qui n’a rien à voir avec la licence.
Un logiciel propriétaire peut très bien produire des données falsifiable et un logiciel libre des données authentifiée de manière forte.

Un mail sorti par Outlook est falsifiable de façon triviale, un mail sorti de Thunderbird + GPG n’est pas falsifiable à l’heure actuelle.

Tu contreviens à la loi. 7500€ d’amende par systèmes utilisant ta version modifiée.

L’éditeur est un crétin, son logiciel ne sera jamais certifié ainsi.

Donc tu es en train de nous expliquer que ton logiciel libre dont tous les éléments doivent être auditables et modifiables par l'utilisateur doit utiliser des composants qui justement ne sont pas accessibles à l'utilisateur. Il faut donc utiliser une boîte noire privative.

Etant donné qu'il s'agit d'une application libre, tu fourniras les codes sources.
Et il me faudra quelques dizaines (bon allez une centaine) d'heures pour désactiver toutes tes mesures de protection et installer ça sur mes propres serveurs.

Et donc encore une fois, une boite noire/

Oula grosse confusion là. Un serveur comme Apache est un logiciel libre, pourtant les utilisateurs des sites passant par un serveur apache ne peuvent pas modifier le code de ce serveur, ils n’ont même aucun moyen de voir tous les fichiers.

C’est bien ce que je dis, tu t’es endormi avant l’invention de la carte réseau et tu viens de te réveiller non ?

Et dans ton code source, tu n'as pas un bout de code qui appelle la clé privée, qui la récupère et qui la met dans une variable ? Chouette alors, je n'ai plus qu'à faire un affichage de la clé privée et on n'en parle plus.
Ah oui, le truc est vachement intelligent : il envoie une clé privée différente à chaque fois.
Ca tombe bien, je suis vachement intelligent : à chaque fois que j'enregistre une facture et que je récupère une nouvelle clé privée, j'ai modifié le code source pour créer un bête fichier texte contenant le numéro de facture et la clé privée associée.

Non.

Le bitcoin fonctionne ainsi par exemple et pourtant il n’y a pas de boite noire.

Et alors ils tourneront sur une version non certifiée. Amende de 7500€ par système.
C’est le même problème avec le logiciel privateur, ce n’est pas propre au logiciel libre.

Tu ne comprends à la cryptographie visiblement...

Le code source d’Apache est disponible. Si je veux l’utiliser pour faire un Apache trafiqué sur mon propre serveur, je peux toujours le faire.

Là, tu es en train de nous dire que le logiciel de comptabilité ne pourrait être utilisé qu’en mode SaaS avec un prestataire d’hébergement certifié. Donc, avec

1. la possibilité de récupérer le code source
2. l’interdiction d’utiliser le code source (modifié ou pas) sur son propre serveur
3. l’obligation de faire confiance à l’hébergeur sur le fait que la version qu’il propose à l’utilisation est celle dont le code source est accessible.

Vas y explique moi : tu viens de me dire que le logiciel doit demander la clé privée au serveur. Donc le serveur lui répond cette clé privée : elle arrive donc "dans" le logiciel. Explique moi comment moi qui ait accès au code source du logiciel, je ne peut pas intercepter cette clé privée.

Oui si tu veux le code source on s’en fout en mode serveur / client. Le client ne peut pas agir sur le code du serveur. Il “suffit” que le code du serveur n’ait pas de bug / vulnérabilités pour que l’intégrité des données soient préservées.

Non tu peux utiliser le code source modifié ou pas sur ton propre serveur mais les données seront inutiles, l’Etat n’acceptera que les données venant de serveurs certifiés.

C’est là où je dis qu’il faut que ce soit hébergé par l’Etat, enfin le ministère adéquat.

Non le logiciel interroge le serveur en lui passant une clé publique.
Jamais le logiciel n’a la clé privée.
C’est un peu la base de la crypto, on n’échange jamais de clé privée.

On tourne en rond.

Donc on en revient au point de départ : l'Etat ne peut pas certifier les logiciels de comptabilité en opensource.

Le problème est entièrement différent. L'éditeur du logiciel propriétaire va s'engager auprès de l'état en lui déposant un dossier qui détaille ses mesures de protection. Et comme le logiciel ne peut pas être modifié, tu peux lui accorder une certification.

Vachement sécurisé dis moi, c’est vrai que j’ai payé tous les logiciels propriétaires que j’ai utilisés !

On rigole on rigole, n’empêche mon idée de déporter ça sur un SI ministériel unifié ça vend du rêve

• saisie unique et homogénéisée des factures au niveau national
• sécurité max
• identifiant unique de facture
• possibilité pour les consommateurs d’accéder à leurs factures online.

Je suppose que si ça n’a pas été fait ça doit être pour des soucis de volumétrie(donc ça sera mis en place un jour ou l’autre)… ou alors les fausses factures arrangent trop de monde.

Je n'ai jamais dit un truc aussi absurde.

Donc tu déplaces le problème. Les éditeurs de logiciel de comptabilité libre doivent maintenant devenir des hébergeurs certifiés : certification vis à vis de l'état d'un côté, mais également certification vis à vis de leur client en s'assurant qu'il n'y a pas de perte de données. Ou alors, ne peut distribuer le logiciel en direct aux utilisateurs, mais uniquement auprès d'hébergeurs certifiés.

Donc au lieu d'avoir un logiciel gratuit comme OpenConcerto qu'ils installent sur leur PC, les utilisateurs doivent prendre un abonnement chez un hébergeur SaaS.

On en revient donc à la base : le logiciel opensource ne peut pas être certifié. Seul peut être certifié un hébergeur SaaS qui va assurer que les données sont chiffrées convenablement et que l'utilisateur n'y a pas accès.

Parles en à @T82135 : c'est lui qui a expliqué qu'il fallait aller demander la clé privée au serveur au lieu de l'avoir en local.
Donc si j'ai la clé privée en local, rien ne m'empêche d'y avoir accès.

Tu ne mets pas la clé privée dans ton code mais sur un serveur, et le logiciel doit la demander à chaque fois au serveur.

Je ne l’ai pas inventé non ? le logiciel doit demander la clé privée au serveur à chaque fois.

N'importe quoi.
Tu crois qu'une licence empêche de modifier un logiciel ?
Par quel miracle ? Tu te fait foudroyé par pensait esprit si tu essaie de le modifier ? Et comment l'éditeur fait pour faire évoluer son logiciel dans ce cas ? Il est figé à vie une fois certifié ?

De la même façon que n’importe quel autre logiciel.

Ha il s’est endormi avant l’arrivée du reverse engineering aussi.

Non c’était moi et c’était mal formulé.

Si, tu fabules.

Ok donc tu ne comprends rien à la programmation serveur / client non plus.

Non ils doivent juste saisir les données sur une page internet (allez on va parler simplement) construite par un logiciel libre ou non (ça change rien à la sécurité) hébergée sur un serveur du ministère.
Données qui seront enregistrées dans un SI sécurisé (logiciel libre ou pas ça change rien à la sécurité).
Les contrôles seront faites par une appli commandée et hébergée par le ministère, comme tout le monde fait de nos jours. (là aussi logiciel libre ou pas ça change rien à la sécurité)

Pourquoi un logiciel de SaaS ne pourrait il pas être libre ?

Le rétro ingeniering de code compilé demande des compétences beaucoup moins courantes que celles nécessaire pour lire un code source. Surtout si l’éditeur a prévu des systèmes permettant de vérifier que son binaire n’est pas modifié.

Je ne sais pas pourquoi, mais j’ai l’impression que vous êtes en train de perdre pied… L’autre tout à l’heure, il m’accusait de bientôt faire appel aux malloc et maintenant il me parle de rétro ingeniering et de décompilation.

Cette mesure de contrôle de la TVA, elle ne s’adresse pas aux multinationales. Elle s’adresse principalement aux commerçants, aux TPE ou aux artisans qui s’amusent à traficoter leur caisse en fin de journée. Ca m’étonnerait franchement que le boulanger en bas de chez moi, il ait les connaissances et le fric nécessaire pour s’amuser à décompiler (ou faire décompiler) le binaire de Sage ou d’EBP pour récupérer un peu de TVA.

Non, il redemande la certification à chaque changement majeur.
Eho, on est dans un marché où il y a 5 ou 6 éditeurs en France et qui sont des mecs qui ont l’habitude de discuter fréquemment avec l’administration fiscale.
En plus, ce sont des logiciels qui évoluent en gros une fois par an, à chaque changement de loi fiscale.

Et voilà on en vient à la vraie raison du pourquoi ce sont des logiciels privés non connectées qui sont certifiés : le copinage.

edit : et sinon si tu crois que décompiler du code source c'est si dur... cites moi un logiciel non craqué qu'on rigole.

Kafka : donc pour pouvoir encaisser une baguette de pain, le boulanger doit s'identifier sur un serveur du ministère des finances et faire sa saisie sur un site Internet.
Ils vont être content tous les commerçants de France quand tu vas leur expliquer que désormais toutes leurs boutiques devront être munies de PC connectés à Internet.

En plus, comme si c'était le rôle du ministère des finances d'héberger les dizaines de millions d'encaissement journaliers en France.

Tu n'as pas l'impression que tu es en train de sombrer dans le ridicule ?

Donc tu vas me dire que démarrer un logiciel et saisir des données c'est moins contraignant qu'ouvrir une page internet et saisir des données?

Et le boulanger il a la machine pour payer en CB mais son PC n'est pas connecté au Net ?

Et si c'est le rôle du minsitère des finances d'héberger les factures, ça me semble tout à fait logique.

On en vient à la raison : l’état ne peut pas certifier un logiciel dont le code source est modifiable par l’utilisateur.

Cite moi des entreprises qui utilisent des logiciels craqués, surtout dans le domaine comptable et fiscal. On ne parle pas de cracker le dernier jeu à la mode.

Oui.

Est-ce que tu as déjà vu un logiciel de caisse ?

CB = ligne téléphonique ou GPRS pour la plupart des TPE.

Et également d'héberger les comptes bancaires.
Au ministère de la santé d'héberger ton dossier médical.
Au ministère du travail d'héberger tes feuilles de paye.
Au ministère des télécommunications d'héberger tes factures téléphoniques, la liste de tes appels et tes emails. A moins que ce soit au ministère de l'intérieur.

Et bien voilà.
La licence on s’en fout. Tu modifies, tu refais certifier.

Tu parles de quoi ?

Si tu proposes un logiciel de gestion, tu le fais certifier pour qu'il puisse légalement être utilisé en France. Si tu modifies ce logiciel, tu refais certifier la nouvelle version pour qu’elle puisse à son tour être utilisée légalement en France.
À aucun moment la nature de la licence n'entre en compte.

Oui, bien plus chiant que de remplir un formulaire sur internet.
Et puis même on peut faire mieux : ton logiciel de caisse va lui-même envoyer les données sur l'application distante via un WS ou autre.
Paf rien à faire.

Oui les TPE n'ont pas d'accès à internet, c'est bien connu.

Boarf que ce soit une entreprise privée ou un ministère je sais pas ce qui est le pire.

Bien sûr que si.

Les conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données du logiciel de comptabilité ou de gestion ou du système de caisse doivent permettre à l’administration fiscale de contrôler les données enregistrées. Le logiciel ou le système doit donc prévoir un accès de l’administration fiscale à l’ensemble des données enregistrées.

Le logiciel de comptabilité ou de gestion ou le système de caisse doit enregistrer toutes les données d’origine relatives aux règlements. Il doit conserver ces données d’origine enregistrées et les rendre inaltérables.

Autrement dit, le logiciel de comptabilité ou de gestion ou le système de caisse doit prévoir que l’administration fiscale puisse accéder aux données d’origine enregistrées initialement ainsi qu’au détail daté (année, mois, jour, heure, minute) des opérations et des corrections apportées lorsque ces données ont fait l’objet de corrections.

Donc maintenant, puisque la nature de la licence n’entre pas en compte selon toi :

• pourquoi Framasoft dit qu’un logiciel libre est considéré comme altérable et ne peut pas être certifié ?
• pourquoi le logiciel de compta libre leader du marché (Openconcerto) ne prévoit rien pour une mise à la norme qui démarre le 01/01/2018 alors que la quasi-totalité des logiciels de compta propriétaire sont déjà à la norme ?
• pourquoi est-ce que Dollibar (autre gros acteur du marché de la compta libre) explique sur son site que pour être certifié, il faudra passer par un intégrateur/installateur qui prendra, lui, la responsabilité de cette installation et de sa conformité. Et il faut pas rêver, le type qui installera le logiciel chez un commerçant ou une TPE, d’une part il ne fera pas ça gratuitement et d’autre part, il fera signer un contrat interdisant à l’utilisateur de modifier quoique ce soit après l’installation.

Donc que ce soit d’une manière ou d’une autre, c’est la fin du “tout libre” dans ce secteur : l’utilisateur qui récupère un logiciel, qui le modifie comme il l’entend et qui se l’installe. Les deux solutions (et encore une fois, ce n’est pas moi qui le dit), c’est soit de passer par un logiciel certifié par l’éditeur, soit de passer par un logiciel certifié par un intégrateur/installateur, ce qui revient grosso modo au même.

TPE = Terminal de paiement électronique.
Oui, la plupart n’ont pas accès à Internet et fonctionne sur ligne téléphonique fixe. Vérifie toi même : quand tu as composé ton code sur le TPE, si ça prend plus de 10 secondes pour avoir l’autorisation, c’est que c’est de la téléphonie fixe. Sinon, ça peut être du GPRS ou de l’Internet.

C’est ça un logiciel de caisse, ce n’est pas un formulaire sur Internet

Chouette pays où toutes les données personnelles et professionnelles seraient hébergées par l’Etat.
Personnellement, je préfère que mon dossier médical reste chez mon médecin, que mes données bancaires restent chez mon banquier, que mon dossier professionnel reste chez mon employeur, que lorsque j’achète une machine à laver chez Darty, ce soit uniquement Darty qui conserve la facture et que lorsque j’utilise ma CB pour payer un restau, ce ne soit pas stocké sur un serveur gouvernemental, mais que la facture soit chez le restaurateur et la transaction chez le GIE Carte Bleue.

Ha ces TPE là et non les très petites entreprises.
Une ligne fixe qui n'a pas internet ?
Dans quelle année vis tu ?

Bien plus compliqué à utiliser qu'un formulaire sur internet je maintiens, et surtout hétérogène.

Tu fais plus confiance à des entreprises privées qu'à l'Etat (note que ce que tu dis n'empêche pas l'Etat d'y avoir accès quand il le veut).
Je ne fais confiance ni aux unes ni à l'autre, donc que ces données soient chez les unes ou l'autre m'est égal.

J’ai la rage là. Retour au papier donc… celui ou celle qui n’aura pas signé le pacte n’aura pas ma voix.

Sinon, pfffioou, c’est fou la bêtise de certains au sujet du chiffrement… faire passer des clés privées dans les tuyaux, ou les mettre carrément dans l’exécutable client, c’est plutôt rigolo comme concepts pour lutter contre la fraude ;)

Je vis dans un monde où le commerçant qui n'a pas besoin d'internet dans sa boutique, il ne va pas s'amuser à prendre un abonnement à Internet. Sors un peu de Paris, sors un peu des supermarchés, ...

C'est con, mais ce n'est pas l'avis des commerçants qui plébiscitent ce genre d'interface presse-bouton au point que désormais tous les éditeurs de logiciels de caisse se sont alignés pour proposer ce genre d'interface.

Autre point que j'avais vu quand on avait remplacé des solutions locales par des solutions de type Web chez un réseau de commerçants (1500 points de vente en France) : la réactivité de l'interface. Quand tu as 5 personnes qui font la queue, ton logiciel doit répondre instantanément. Hors de question de perdre des secondes à attendre qu'une page Web s'affiche. Et hélas, tout le monde n'a pas le très haut débit. Bref, on avait implanté beaucoup de fonctions en mode Web : tout sauf les fonctions où le commerçant est en face à face avec le client pour des opérations "rapides" (une recherche d'une pièce dans un catalogue peut se faire sur un serveur Web car le temps de connexion n'est pas le principal point de perte de temps. L'édition de la facture quand le client a fini son achat, non).

C'est pour cela que tous ces logiciels sont des logiciels en local : les bases peuvent être distantes (sur un serveur local, voire un serveur déporté), mais à condition que le paramétrage (et en particulier les prix) soient en local : la caisse doit fonctionner même si le réseau ne fonctionne pas (et se resynchroniser après). Un commerçant n'acceptera jamais un logiciel qui lui fera perdre des ventes parce que la connexion à un serveur est lente ou encore pire, que le serveur soit inaccessible.

Non.
L'état n'y a accès que dans des conditions strictement définies.
Tu crois que le premier clampin du ministère de la santé peut débarquer chez ton médecin pour voir ton dossier médical ?
Tu crois que n'importe quel fonctionnaire peut demander à voir le détail de ton compte bancaire ?

La décentralisation et l'absence de numéro d'identification unique permet un cloisonnement des informations qui n'existerait plus si tout était stocké au même endroit.

Quelqu’un se plante dans l’interprétation.

Dans le lien que tu donnes toi même :

Cette question a été longuement discutée par les projets Open source (Dolibarr, Pasteque, …), sous l’impulsion de l’APRIL, et des discussions ont eu lieu avec les autorités. Il en ressort, que les logiciels Open Source peuvent parfaitement être utilisés dans les entreprises à condition bien sûr de remplir ces nouvelles exigences de la Loi.

Parce que c’est faux :

À partir du 1er janvier 2018, devient obligatoire l’utilisation d’un logiciel de gestion ou d’un système de caisse satisfaisant aux conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données, attestées par un certificat délivré par un organisme accrédité ou par une attestation individuelle délivrée par l’éditeur.

ILM Informatique, éditeur d’OpenConcerto, travaille actuellement sur les évolutions techniques du logiciel. Ces évolutions seront disponibles dans OpenConcerto pour le 1er janvier 2018.

Parce que c’est une des deux possibilités offerte par cette loi. L’autre possibilité est aussi en projet chez Dollibar :

2. L’association Dolibarr et la communauté de développeurs vont oeuvrer pour obtenir une certification de Dolibarr par un organisme officiel. Cela concernera certaines versions stables. (le projet publiant 2 versions stables majeures par an, elles ne pourront pas toutes bénéficier du label “certifié”). Une des prochaines version de Dolibarr devrait donc être “certifiée”. La version concernée et le calendrier seront annoncés ultérieurement.

Oui, et ? C’est pareil pour du logiciel propriétaire que je sache. Qui travail gratuitement dans le domaine ?

Pas besoin la loi le couvre déjà sur cette question.

Bref, tu viens de démontrer que le logiciel libre pouvait tout à fait satisfaire les conditions de cette loi, contrairement à ce que tu prétendais dans la vingtaine de messages précédents.

Pas du tout, c’est un organisme officiel qui certifie, pas l’éditeur/installateur. Ce serait trop simple de frauder sinon.

Cette discussion est terminée pour moi. Tu as montrés que, malgré ton ignorance dans le domaine, tu pouvais trouver tout seul des contre-exemples à tes inepties.
Bonne recherche.

Oui des boutiques sans internet, même le boulanger dans un bled de la Creuse a internet.

Si tu sais pas développer des applis web réactives c’est pas mon problème.

Voilà on en revient au client / serveur, pile ce que je disais. Merci.

Tu te contredis :
“Le logiciel ou le système doit donc prévoir un accès de l’administration fiscale à l’ensemble des données enregistrées.”

Le pire c’est qu’il dit être du métier.

Bref, je viens de démontrer que le logiciel libre ne pourra plus être utilisé de manière libre par son utilisateur et qui lui sera interdit d'utiliser un code source qu'il aura lui même modifié (à moins d'entreprendre les démarches de certification, ce qui m'étonnerait).

Bref, je viens de démontrer que même si le logiciel est réputé libre, tu n'auras comme possibilité que de soit récupérer le code binaire présenté à certification par l'éditeur et approuvé par l'Etat, soit un code binaire présenté à certification par un intégrateur/installateur et approuvé par l'Etat.

Bref, on est très très loin de l'esprit du libre. Imagine le serveur Apache dont tu aurais le droit de lire le code source si tu en as envie, mais dont tu n'aurais le droit que d'utiliser des codes binaires distribués par une poignée d'entreprises agréées. Dont tu pourrais, si tu en as envie, modifier le code source, mais à condition de ne pas utiliser le logiciel ainsi modifié. Voire même, que tu n'aurais même pas le droit de compiler toi-même une version non modifiée parce que le hashcode du binaire ne correspondrait pas à celui du binaire de la version officielle et autorisée.

On n'entre plus du tout, mais alors plus du tout dans la définition Wikipedia du logiciel libre : Un logiciel libre est un logiciel dont l'utilisation, l'étude, la modification et la duplication en vue de sa diffusion sont permises, techniquement et légalement. Ceci afin de garantir certaines libertés induites, dont le contrôle du programme par l'utilisateur et la possibilité de partage entre individus.

L'utilisateur qui prend le code source d'OpenConcerto et qui décide de le modifier en changeant les requêtes SQL pour enregistrer les données dans MySQL plutôt que dans PostgreSQL : fini. Plus moyen de faire ça tout seul sauf à se lancer dans un processus de certification hors de sa portée.

Oui, rattrape toi comme tu peux. Ça doit certainement être mortel chez toi de reconnaître que tu as eu tord.

Comme si la réactivité des applis web ne dépendait que du développement.
Essaye avec serveur, LAN. FAI, WAN, …

Tu as déjà essayé des applications comme Word Online ou Google Doc ? Essaye et viens nous expliquer que ces traitements de texte en mode Web sont plus réactifs qu’un Word ou qu’un LibreOffice en local.

Tiens maintenant, tu plébiscite le client/serveur ? Tout à l’heure, c’était les architectures Web.

Ce n’est pas moi qui dit ça, c’est l’administration fiscale.
Et il y a une énorme différence entre “l’administration fiscale demande à avoir accès à tes données de facturation” et “l’administration fiscale héberge tes données de facturation”.

Le pire, c’est que tu croies en être.
Tu m’a fait beaucoup rire avec ton formulaire web pour saisir l’achat d’une baguette de pain.
Et franchement, quoi de mieux que terminer la journée avec un type qui explique qu’il est du rôle du ministère des finances d’héberger les millions de factures et tickets de caisse produits journellement en France.

Reconnaître qu’un logiciel libre certifié par l’Etat ne rentre plus dans la définition d’un logiciel libre puisque l’utilisateur final n’a plus le droit d’utiliser une version modifiée par lui-même du logiciel ?

Ben non, je ne vois pas pourquoi je reconnaitrais que j’ai tort. Le logiciel libre ne sera pas certifié, seul un code binaire fourni par l’éditeur pourra l’être. Ce qui revient grosso modo au cas du logiciel propriétaire : seul le binaire est utilisable.

Allez, ciao, à demain.

Vu tes notions de cryptographie, de réseau et de logiciel libre vs propriétaire et de dév en général je me ferais discret à ta place.

Encore un truc qui montre que tu n’y connais rien "Tiens maintenant, tu plébiscite le client/serveur ? Tout à l’heure, c’était les architectures Web."
La meilleure de l’année. Le web n’est pas à base de client / serveur ? Mince.

Le fait que le logiciel et les sources soient accessible ne veut en aucun dire que les données traitées sont modifiables...

Tu peux modifier le logiciel, son fonctionnement, ... et donc, c'est plus le logiciel qui été "autorisé", mais un autre, c'est tout

Nul besoin de clé ou quoique ce soit.... Le systeme de chiffrement peut être "connu", les données sont pas pour autant accessibles.....

Vos échanges m’ont donné le cancer. Trois fois.

On était en train de parler d’accès à des données à partir d’un logiciel installé sur un poste utilisateur. Dans une architecture Web le poste client n’envoie pas de requêtes sur les données directement au serveur. Ta partie client/serveur elle se fait entre le serveur Web et le serveur de données. Je ne pensais pas qu’il faille expliquer cela à quelqu’un d’aussi calé que toi. Ou alors, tu oublies au fur et à mesure ce que tu dis, ce qui n’est pas moins inquiétant.

Quant à mes notions de cryptographie, elle ne me ferait jamais dire qu’un logiciel allait demander une clé privée à un serveur. Mai s bien sûr, tu ne voulais pas dire cela. D’ailleurs tu ne sais pas trop ce que tu voulais dire; En fait, ça doit être un truc comme le logiciel envoie une demande de clé publique au serverur et il se sert de la clé publique pour chiffrer les données Non ? Ce n’est pas ça non plus que tu voulais dire ? Mais alors, elle est où cette clé privée ? Et d’ailleurs y en a t’il vraiment une ?

Et enfin, en termes de logiciel libre, je compte sur toi pour m’expliquer la philosophie d’un logiciel libre dont tu n’as pas le droit de modifier le code source sous peine de ne plus avoir le droit de l’utiliser. Ah oui, si les utilisateurs ont le droit de lire le code source pour repérer les erreurs, de les communiquer à l’éditeur qui s’empressera de ne pas appliquer les correctifs parce que le processus de certification, c’est une fois par an, donc ils partiront sur une base d’une maj par an. Bref, ils font tout comme du propriétaire, mais chut, il ne faut pas le dire, ça ferait de la peine aux tenants du libre qui continuent à t’expliquer que si si, c’est encore du logiciel libre.

Ben si : tu remplaces la procédure qui chiffre les données (à partir de la fameuse clé privée sortie de nulle part) par une procédure qui porte le même nom et qui ne chiffre rien du tout.

C’est exactement ce que je suis en train de dire. Ce qui sera certifié, ce sera le code binaire distribué par l’éditeur ou par un intégrateur qui aura pris la peine de faire certifier ce code binaire. Le code source “libre” ne pourra jamais être certifié, ni du coup utilisé directement.

Donc c’est plus le même logiciel…

A ce moment la, même un logiciel fermé, tu peux changer la procédure de chiffrement en désassemblant le logiciel, il est plus certifiable non plus…

Tu peux faire un logiciel open source, avec des versions déja compilées, passer la certif, …
Ca va pas certifier tous ceux qui modifient les sources pour faire leurs versions perso du logiciel…

Cela demande des efforts et des compétences largement supérieures que modifier un code source.

C'est bien ce que je dis. C'est la version compilée qui sera certifiée. Pas le code open source. Donc on n'est plus dans du logiciel libre car modifiable "légalement" par l'utilisateur.

Si l'on va par là, PERSONNE (ou presque) n'utilise de logiciel libre, que ce soit sous Windows, Mac et Nux. Seules les personnes qui ont compilé elles-mêmes leur code, plutôt que de se fier à un binaire/paquetage déjà complet, feraient partie des happy few.

Tous les gens qui leechent les binaires de filezilla (soit dit en passant une très mauvaise idée, ça stocke vos logins-password en clair dans un emplacement fixe), de OpenOffice et compagnie, utilisent bel et bien du logiciel libre.
Et, à moins que j'aie mal compris cette imbitable discussion qui s'est inutilement éternisée, rien n'empêche donc que des binaires soit certifiés.

Ou oui, le quidam de la compta, il est capable de changer le code source, et de recompiler lui même.....

Le code open source et sa version compilée sont la même chose.
C'est bien du logiciel libre, légalement modifiable (par contre, la version modifiée n'est plus certifiée, faut que tu repasses la certif pour la version modifiée de ton coté)

Absolument rien t’empêche de partir d'un code source tiers, et de passer la certif avec si tu veux hein.

Ce qui veut dire que on est exactement dans la même situation qu'un logiciel propriétaire. On perd toute la dimension libre du logiciel qui doit permettre à celui qui en a envie de modifier lui-même le logiciel.

Non. Le quidam de la compta, il a un collègue dans le bureau à côté qui fait du développement Java.

Pas dans ce cas.
Dans ce cas, tu auras le code binaire compilé par l'éditeur ou par un intégrateur qui aura été certifié.
Mais si tu prends le code source et que tu le compiles toi même, même sans en changer une ligne avec par exemple une version différente du compilateur, tu n'auras plus la certification.

Oui, bien sur, surtout l'auto entrepreneur qui fait du jardinage pour les vieux ^^

Et ?
Ca ne change rien
T'as les sources ce qui est certifié, tu peux le modifier, et tu dois repasser la certif pour vérifier tes modifs.

L'éditeur open source peut faire la démarche pour toi, en fournissant déja le tout déja certifié tout pret à l'emploi. Si tu veux ton truc perso, bah tu refais la certif de ton coté, avec tes sources.

Editeur logiciel, c'est pas seulement fournir un code, et basta, _ça englobe tout le service à coté, le support, .... et les certifications / validations.

Tiens, maintenant le quidam de la compta fait du jardinage pour les vieux ? Quel talent…

Ce ne sont pas les sources qui sont certifiés car les sources ne sont pas certifiables.

Et puis c’est sûr que l’auto-entrepreneur jardinier quidam de la compta, il va payer 1500 euros HT pour avoir accès à la formation et aux règles de certification + 100 euros de l’heure d’un expert pour savoir si son logiciel peut être certifié. Plus monter tout le dossier avec spécifications, tests, engagement de maintien de la conformité, … C’est pas pour rien que la certification est réservée aux éditeurs ou aux intégrateurs : c’est parce que cela demande des compétences qui vont au-delà de celles de l’auto-entrepreneur jardinier plombier polonais.

Ho miracle, la compta d’un autoentrepreneur se fait toute seule

Encore une fois, les sources la version compilée sont le même logiciel.

Si t’as pas “confiance” dans la version compilée certifiée, tu peux repartir de source, les inspecter, les modifier, repasser la certif, … C’est bien de l’open source, t’en fait ce que tu veux, et t’es libre de refaire passer la certif de ton logiciel spécifique à toi.

Et oui, c’est un travail de professoinel…
Un moment faut savoir ce qu’on veut: Si t’es pas capable de le faire, n’a pas les moyens, tu passes par un prestataire externe… y compris une société en logiciel libre, qui peut le faire pour toi.

Ha tu parlais donc de la base de données ? C’est dur de te suivre tu passes du coq à l’âne et n’employant pas les bons termes.
Tu sais quand je parles d’applis distribuées ce n’est pas seulement une page HTML hein… Une appli qui accède à une base de données distante c’est une appli distribuée.
Tu peux très bien gérer les règles métiers (par exemple ici le fait de ne pas pouvoir modifier une facture) directement dans ta base de données. Et avoir ton appli en local (qui aura tous les paramétrages que tu veux) même libre, même modifiée ne pourra pas modifier la base de données comme elle veut.
Et ce modèle tu peux le décliner comme tu veux : formulaire Web, WebService quelconque (en REST c’est la mode c’est joli), appli en dur qui va directement taper une base de données distante…
Alors oui ça demande un contrôle distant, mais si tu veux éviter la fraude c’est le seul moyen que tu as, appli libre ou non dès que c’est en local c’est contournable.

Mais elles te font dire qu’il faut laisser une clé privée dans le code d’un logiciel local parce que “c’est compilé et proprio donc c’est secure”.
Bravo l’expert.
(sinon même si j’ai foiré la formulation j’ai bien dit “appeler la clé”, et je voulais dire tu l’auras compris lui envoyer des données à décoder avec sa clé privée".
Bref rien d’aussi grave que laisser des clés privées dans du code local et faire le déchiffrement en local parce qu’encore une fois “c’est compilé et proprio donc c’est secure”).

D’autres s’échinent à t’expliquer ce point mais tu ne les écoutes pas, pourquoi tu m’écouterais plus qu’eux ?
Sinon pour relever un point : même si c’est comme le propriétaire tu peux voir les sources, donc voir s’il n’y a pas une backdoor ou un code qui envoie toutes tes factures à la NSA ou l’Etat, vu que ça a l’air de te faire peur.

Bonjour tout le monde.
Je trouve que chacun a un peu raison.

Mais je trouve aussi que Dolibarr a été plutôt astucieux et a trouvé un moyen assez simple et efficace pour repondre à certaines problématiques que vous évoquez ici.

Ainsi une solution open-source peut tout à fait être certifiée sans devoir recourir à des serveurs certifiés, c’est à dire qu’on peut tout à fait l’installer et l’utiliser sur notre propre serveur sans devenir un hors-la-loi pour autant.
D’autre part, il est tout à fait possible de continuer à modifier les sources sans avoir besoin de redemander une certification tant qu’on ne touche pas aux fichiers sensibles (ceux qui permettraient de traficoter des factures dans la bdd, par exemple).

En vulgarisant un peu, le princîpe repose sur le fait que pour chaque version qui sort, un listing des fichiers sensibles est établi, et une signature de l’ensemble de ces fichiers est générée. Dès que vous modifiez un fichier sensible, la signature change, et votre application n’est plus certifiée. Il est donc important que Dolibarr isole l’ensemble des fonctionnalités qui garantissent l’inaltérabilité des données comptables (et autres contraintes de la norme NF525) dans des fichiers distincts afin que l’application reste la plus modifiable et personnalisable par n’importe quel utilisateur/développeur.

L’inconvénient, bien sûr, c’est que si l’ajout ou la correction de fonctionnalités importantes nécessitent malgré tout la modification des fichiers sensibles, il faut obtenir une nouvelle certification ou une nouvelle attestation de conformité par un tiers (une société d’édition de logiciels comptables, même vous si vous en avez une). L’attestation de conformité est juste un document à remplir/faire remplir. La responsabilité de l’émetteur de l’attestation est alors engagée.

Ceci est évidemment est un énorme frein au concept d’open-source, mais qui peut somme toute paraître légitime)

Source : https://wiki.dolibarr.org/index.php/Loi_finances_2016_France_et_NF525#Travaux_en_cours_et_.C3.A0_venir_dans_Dolibarr_pour_permettre_la_conformit.C3.A9_via_certification_.28non_obligatoire_si_autre_m.C3.A9thode_mise_en_oeuvre.29

Je trouve que chacun a un peu raison.

Oh, le père Macron est parmi nous !
Et il vient de s’inscrire pour nous faire sa pub du coup faudrait pas fâcher les gens, on va être d’accord avec tout le monde. Bien joué, belle com’. Je vais même pas regarder ton site.

Merci pour ces précisions.
Il est intéressant de voir que l’ensemble des fonctionnalités qui garantissent l’inaltérabilité des données comptables sont isolée du reste. C’est une très bonne pratique je trouve.

Le "pire" c'est qu'il n a rien de vraiment nouveau dans l'absolue, d'un point de vue comptable:

Une écriture validée et passée en compta n'a pas à être modifiée / supprimée. En cas d'erreurs (car y'en a forcement), il faut faire une autre écritures pour compenser (typiquement, un avoir sur facture, remboursement, etc..... et non modifier un ancien document, déja validé)

J'avoue, c'est plus pratique / simple / rapide de pouvoir modifier une écriture après coup, pour rectifier un changement / erreur,... mais c'est, sur le principe, totalement à proscrire (même sans volonté de frauder)

Je ne t’ai jamais dit d’aller regarder mon site. Et ce n’est pas le mien c’est celui de Dolibarr. Je ne vois aucun rapport avec Macron. Argumente, explique au lieu d’insulter. Et où est la part de pub dans cette affaire ? Je suis tout simplement un commercant qui utilise actuellement des feuilles excel pour faire sa compta et qui cherche une solution pour janvier 2018 pour pas avoir à payer d’amende.
En plus cette loi a été votée bien avant Macron.

Propose quelque chose, sois constructif.

D’ailleurs j’avais pensé d’abord à utiliser OpenConcerto qui est lui aussi Open-Source (car j’avais fait des recherches il y a un ou 2 ans pour trouver une alternative à mes feuilles excel, et il était dit par ici et par là que le code était mieux structuré/organisé/maintenable que celui de Dolibarr qui lui ressemblait un peu plus à du rafistolage … D’autres part il était dit qu’Open-Concerto était plus rigoureux vis-à-vis des dernières normes comptables françaises. Mais peut-être que que le comparatif OpenConcerto/Dolibarr serait à actualiser aujourd’hui … Vos avis m’intéressent)

Donc comme j’ai vu un article qui me disait que la loi allait être appliquée dès janvier 2018, j’ai cherché des infos pour voir si je pouvais dès maintenant commencer ma compta sur OpenConcerto …mais j’ai pas trouvé d’info sur sa certification à part des messages d’admin/responsables qui disaient qu’ils allaient livrer une version certifiée en temps et en heure car il en allait de la survie du logiciel.

Mais bon moi ca me suffit pas, car contrairement à toi il me faut des explications et des arguments. D’ailleurs j’étais plutôt sceptique et je voyais pas comment c’était possible de faire certifier un logiciel opensource puisque modifiable,… D’ailleurs je suis tombé le site de numerama, en faisant mes recherches.

Donc j’ai cherché du côté de Dolibarr et j’ai trouvé quelques réponses à mes questions que j’ai voulu partager avec vous. (Car oui, à mon sens, le partage d’informations et l’argumentation sont plus constructifs que de se placer dans une opposition systématique qui mène à des débats stérils.)

Néanmoins, je pense installer les 2 programmes et faire une saisie comptable sur chacun. C’est un peu la merde, mais je veux pas me retrouver avec le risque d’être en situation irrégulière parce que l’un ou l’autre n’aura pas fait son boulot. (D’ailleurs je me demande si c’est possible d’importer ses données d’un logiciel à l’autre).

Et si au final aucun des 2, n’est certifié ben faudra que je me rabatte sur un soft payant et ce sera bien évidemment pour moi la mort de l’open-source au stade ultime.

A part ça, explique moi ca sert à quoi de se placer dans une opposition systématique et de se fâcher avec des gens sans apporter d’arguments ? Tu as l’intention de progresser dans la vie ? A moins que tu ne sois déjà en haut de l’échelon ? (je vois pas comment, mais bon …)

• Car oui, je suis d’accord avec le fait de dire que c’est pas parce qu’un logiciel est compilé qu’il est sécure et doit être certifié (bien qu’évidemment à mon sens, plus difficile à modifier).

• Je suis d’accord pour dire qu’un site web avec un formulaire pour saisir ses données comptables directement sur un site du gouvernement n’est pas une solution intéressante… qu’elle génère une perte de réactivité, et que ce n’est pas le rôle du gouvernement de stocker nos données comptables (et surtout pas, nos autres données personnelles). Bon, si le gouvernement veut le proposer gratuitement et que chacun est libre de l’utiliser ou pas … Pourquoi pas ? Mais chacun doit pouvoir continuer à opter pour de l’open-source ou du commercial.

Open-source peut signifier modifiable, ça ne veut pas dire que tes modifs sont exploitables (officiellement), même si en pratique, ça va souvent ensemble. Seul le libre te garantit ça (on oubliera la tivoïsation pour l’instant).

Maintenant, on l’a déjà dit il me semble : il y a moyen de faire autrement qu’en se basant sur le build-system modulaire que tu décris. Mais ça me convient, du moment qu’on a les sources de TOUTE l’application client au minimum pour savoir ce qui se passe de ce coté du réseau.

Un peut de courtoisie avec les nouveaux membres SVP ! Pas étonnant que le forum se meurt dans ce contexte.

Merci pour la rectification. C'est bien libre que je voulais dire. C'est vrai que quand j'ai besoin de rechercher un logiciel libre, je cherche souvent en anglais parce qu'il y a plus de chances d'avoir une plus grande communauté. Du coup je tape juste opensource car souvent la licence libre va avec. J'évite de taper seulement free (pour libre an anglais) parce que souvent ca me donne plutôt les logiciels gratuits propriétaires au lieu des logiciels libres, d'où ma propension à utiliser le mauvais terme.

Sinon j'ai dû manquer quelques choses mais j'arrive pas à retrouver les autres solutions évoquées dont tu me parles (les alternatives au build-system modulaire) Tu peux me les rappeler s'il te plait ? Ca m'intéresse.

Bonne nouvelle, le gouvernement a reculé :

Désormais à moins de tenir une caisse, on n’a de nouveau plus besoin d’utiliser un logiciel contraint.

Cette ambiguïté sémantique du mot free aura été un véritable fléau pour la comm’ du mouvement libre. Stallman s’est battu comme un diable depuis le début pour la lever dans l’esprit du plus grand nombre.

Soit dit en passant, la cerise sur le gateau en France, c’est Free (groupe Illiad). Je suis chez eux depuis les tous débuts, j’ai toujours pas trouvé un bon moyen de faire une recherche en rapport avec ce fournisseur sans tomber sur plein de bruit. À la limite freebox fonctionne dans pas mal de cas, mais franchement pas idéal.

C’est triste à dire, mais le mot free est une malédiction, un sparadra du capitaine Haddock qui reste collé pendant des générations, et contagieux avec ça !

build-system modulaire… mouais, ça m’étonne pas d’avoir sorti ça avec la nuit que j’ai passée :/ Le terme est vague. Mais bon, c’est un système comme un autre, isoler et minimiser les fichiers sensibles pour la signature. Une idée quelqu’un pour un joli nom ? signature partielle ? ciblée ?

Sinon, c’est probablement bel et bien quelque-chose comme ça qu’il faut faire, Dolibarr est sur la bonne voie. On a pas besoin que tout soit modifiable et exploitable. La partie protocolaire, on s’en fout (un protocole, on s’y tient) du moment que c’est transparent.

Ensuite, désolé mais les solutions spécifiques disponibles pour faire de la compta, c’est pas mon créneau (j’ai de bonnes notions de comptabilité, assez faibles en compta analytique, mais c’est justement là que j’ai compris qu’il fallait fuir loin, très loin de tout ça). En tant qu’autoentrepreneur qui fait exclusivement du service, le laisser-passer A-38 devient peenuts, et ça tombe bien c’était aussi le but du statut. J’utilise Calc pour tout, devis, factures, livre de comptes (au fait, Excel est tout sauf libre, mais tu le sais n’est-ce pas ?).

La volonté du gouvernement de nettoyer un peu le souk peut se comprendre, l’inaltérabilité des données comptables, c’est pas une blague. Mais ils ont intérêt à ne pas imposer de boîtes noires (scénario catastrophe), les proposer si ça leur chante, mais pas les imposer sinon ce sera la guerre ! Donc, wait & see. 2018, ça va, on a le temps de voir venir. Merci @Neuro pour le sujet, allez hop : signet.

Ça m’arrange, mais pensons aux caissiers.

Lol, j'avoue que moi aussi il m'est tombé sur des cas comme ça où il m'est impossible de trouver des renseignements sur ce que je cherche à cause du bruit généré. Souvent c'est une entreprise ou une marque de produit qui porte un nom commun.

Hé hé, en fait moi aussi j'utilise Calc pour tout ca. J'ai dit excel parce que si je tape seulement calc dans le moteur de recherche ... Haha, non je plaisante : c'est pas dû au bruit généré, mais c'est parce que il y a encore des gens qui connaissent pas (genre ma femme)

D'ailleurs j'utilise Ubuntu sur mon poste principal. J'ai un ordi portable où j'ai windows 10 dessus mais c'était d'origine. J'ai pensé à faire un dual boot mais l'opération sur ce modèle semblait rencontrer quelques problèmes ainsi que certaines incompatibilités de matériel... De toutes façons, je ne l'utilise que pour de la navigation web, ou comme écran déporté par une connexion SSH/VNC ou bureau à distance vers mon poste principal.

T’inquiètes, y’a pas de honte non plus. J’ai un PC de course sous Windows 7 pour les gros jeux qui se sont plantés de bibliothèque graphique de choix quelque-part dans la chaîne de production (et pour Reason aussi, j’avoue, ça m’éclate). Mais pour le boulot/pro, c’est GNU/Linux à tous les étages. Et les vaches sont bien gardées.

Bonne nouvelle : Seuls les logiciels de caisse seront concernés.
Mauvaise nouvelle : il va falloir une loi pour acter ce recul.
Bonne nouvelle : le fisc a reçu des instructions pour être cools.