L’appareil qui contrôle ma pompe à insuline utilise le noyau Linux, mais viole la GPL

Commentaires Hacker News

• J’ai essayé de demander à Insulet le code source du noyau sous licence GPLv2
  Mais l’idée selon laquelle « il y a de la GPL donc ils doivent donner les sources » est une simplification trompeuse
  En pratique, l’entreprise doit envoyer à l’utilisateur une « offre écrite » (written offer), et l’utilisateur peut demander le code source sur cette base
  Si l’entreprise a envoyé l’offre mais ne l’honore pas, c’est une rupture d’engagement, mais si elle n’a jamais envoyé l’offre, alors c’est une violation de la GPL (je ne suis pas juriste)
  • C’est encore un point qui n’a pas été clairement tranché en droit
    L’affaire Conservancy v Vizio porte notamment sur la question de savoir si un consommateur peut faire appliquer la GPL directement
  • La durée de validité de 3 ans de l’offre écrite n’est qu’un des modes de distribution possibles
    S’il n’y a pas eu d’offre du tout, l’entreprise ne bénéficie pas de la protection de cette clause et doit respecter la GPL par d’autres moyens
  • À la question « une offre écrite non honorée est-elle une rupture de contrat ? », certains répondent qu’une simple offre n’est pas un contrat
  • Cette interprétation peut valoir aux États-Unis, mais en Allemagne, l’utilisateur final peut directement exiger le code source et aller en justice
  • La GPL est elle-même un contrat ; la distinction importante ici est donc celle entre le contrat concédant–licencié et la relation licencié–utilisateur
• Je recommande vraiment de lire le commentaire principal écrit par quelqu’un de l’entreprise
  Le développement matériel est souvent vu comme un centre de coûts et sous-traité, si bien qu’il ne reste souvent plus personne pour traiter concrètement les demandes liées à la GPL
  Les équipes de support de premier niveau n’ont pas la capacité de gérer ce type de demande, et les e-mails tournent en interne avant d’être oubliés
  Une fois transmis au service juridique, ils sortent la calculette pour se demander « y a-t-il un vrai risque légal ici ? », puis ignorent généralement le sujet
  Quand je travaillais dans une entreprise qui avait souvent des sujets GPL, je faisais conserver un tarball GPL pour chaque release et je formais aussi le support
  Dans 70 % des cas, la colère venait d’un malentendu du type « pourquoi ne donnez-vous pas tout le code source ? »
  Cette expérience m’a aidé à comprendre pourquoi le support n’aime pas recevoir des demandes GPL
  • Mais si du code non GPL est directement lié (link) à du code GPL, alors les plaintes de ces utilisateurs étaient peut-être légitimes
• Dans ce genre de situation, la bonne approche est de passer par le service juridique, via un avocat
  On ne peut pas attendre d’ingénieurs ou du support qu’ils prennent une décision juridique sur la transmission d’actifs de l’entreprise
  Ce serait très utile que la FSF publie un modèle de mise en demeure avec la base juridique et la procédure de demande de dommages-intérêts
  • Certains répondent toutefois que « ce n’est pas un actif de l’entreprise »
• Si la seule partie soumise à la GPL est le noyau Linux, il est probable qu’il n’y ait pratiquement aucun droit à obtenir un code source particulier
  Le simple fait d’utiliser le noyau n’impose pas d’obligations GPL aux programmes en espace utilisateur (userspace)
  Il s’agit probablement d’une combinaison entre un noyau non modifié et des programmes userspace open source
  • Dans ce cas, la mise à disposition du code source devrait être très simple à gérer
  • De plus, les modules de pilote utilisant un shim GPL (par ex. le pilote NVIDIA) ne sont pas soumis à la GPL, donc je ne comprends pas pourquoi l’auteur pense qu’il y a violation
• Ce genre de discussion sur les violations de licence est vraiment stressant
  S’il y a violation, il suffit d’intenter une action et de laisser le tribunal trancher
  Pour un dispositif médical, cela semble valoir la peine d’essayer même pour quelques centaines de dollars
  • Mais il est probable que l’OP ne soit pas titulaire des droits d’auteur sur le noyau Linux
  • Et il est peu probable qu’un procès se règle pour seulement quelques centaines de dollars
• Si l’entreprise a compilé elle-même le noyau, il pourrait suffire de donner le lien vers le dépôt officiel du noyau Linux
  • Mais si l’entreprise l’a compilé elle-même à des fins commerciales, elle ne satisfait pas les deux conditions du GPLv2 3(c), donc cette clause ne s’applique pas
• On parle peut-être d’Omnipod ?
  Il y a eu pas mal de rappels, et il est difficile de faire confiance à la qualité de leur matériel et de leur logiciel
  Désolé pour ceux qui ont travaillé dans cette entreprise, mais j’espère qu’ils sont partis vers mieux
• Ce qui m’intrigue, en tant que personne non insulino-dépendante, c’est pourquoi une pompe à insuline doit être contrôlée par téléphone
  Un simple contrôleur Bluetooth devrait suffire, alors utiliser un téléphone Android d’entrée de gamme fabriqué en Chine semble surtout augmenter le risque de fuite de données
  • C’est pour des raisons de sécurité. Le PDM est totalement isolé, il est impossible d’y installer des applis ou de le connecter en Wi‑Fi
    Une mauvaise commande pourrait provoquer une surdose d’insuline potentiellement mortelle
    Fait amusant, l’Omnipod 5 de la même société peut, lui, être contrôlé depuis un smartphone classique aux États-Unis
  • Autrefois, pour qu’une pompe soit contrôlable par un appareil externe, il fallait obligatoirement fournir un contrôleur dédié
    C’est pour cela qu’Insulet a sorti un appareil séparé
    Des CGM comme le Dexcom G7 sont vendus avec un « contrôleur » pour la même raison
    Récemment, la FDA a assoupli cette exigence, et autorise désormais aussi des produits conçus pour fonctionner avec le téléphone de l’utilisateur
• En réalité, cet appareil a déjà été reverse-engineered (RE)
  Il suffit de regarder des projets comme Loop, Trio ou OpenAPS
  Insulet a été assez tolérante vis-à-vis de ce type de hack
  Ce qu’il faut maintenant, c’est aider le RE de l’Omnipod 5
  • Je suis aussi en contact avec plusieurs personnes qui connaissent le travail de RE sur l’Omnipod 5
    Le problème actuel, c’est que le PDM/l’appli récupère une clé privée depuis l’API lors de la connexion et la stocke dans le trousseau, avec du SSL pinning pour empêcher les attaques de type homme du milieu
    Comme la clé privée n’a pas encore été extraite, les progrès restent lents
  • J’essaie aussi de faire le RE de la lecture des données de glycémie sur la pompe Minimed (780G), mais ce n’est pas encore totalement résolu
    J’espère pouvoir contribuer un jour
• Je me demandais s’il existait une procédure pour saisir la FSF dans ce type d’affaire
  J’aimerais savoir selon quels critères ils choisissent les dossiers
  • En pratique, ce n’est pas la FSF mais la SFC (Software Freedom Conservancy) qui s’en occupe
    La théorie dominante est que seule la personne titulaire des droits d’auteur peut faire appliquer la GPL
    La SFC cherche, via le procès contre Vizio, à faire reconnaître que l’utilisateur final peut aussi faire appliquer la GPL comme tiers bénéficiaire
    La FSF ne peut intervenir que lorsque les droits d’auteur lui ont été cédés, comme pour le projet GNU
    Les violations liées à GNU peuvent être signalées à license-violation@gnu.org
    La SFC est aussi le représentant juridique de plusieurs projets comme OpenWrt, Git et QEMU
    Pour un signalement, voir la page d’aide de la SFC
    Cela dit, la SFC a des ressources limitées et traite en priorité les cas à fort impact sociétal, comme les dispositifs médicaux
    En particulier parce que des personnes comme Karen Sandler (utilisatrice d’un défibrillateur cardiaque) et Bradley Kühn (utilisateur d’un moniteur glycémique) s’intéressent beaucoup aux questions liées aux dispositifs médicaux