Des développeurs ont mis à jour des failles de sécurité dans la première version de Diaspora diffusée la semaine dernière. Mais elles sont normales à ce stade de développement. En revanche, l’accord que doivent signer les contributeurs pour participer au projet laisse craindre une trahison de la communauté qui avait donné plus de 125 000 dollars pour sa création.

Une partie de la presse se fait l’écho en ce début de semaine des nombreuses failles de sécurité découvertes dans le code source de Diaspora, l’alternative libre, open-source, gratuite et décentralisée de Facebook. Certains hackers ont en effet révélé l’existence d’importantes malfaçons dans la conception du code, qui permettent en particulier l’exploitation de failles XSS. Grâce à l’injection de codes par les formulaires, il serait ainsi possible de détourner des comptes utilisateurs, de supprimer des photos, d’ajouter des amis sans leur consentement, etc.

Très bien. Et alors ? L’équipe fondatrice du projet a publié une première version du code, uniquement destinée aux développeurs, justement pour qu’ils puissent repérer ces failles et améliorer notamment la sécurité des données, avant la mise en ligne d’une première publique destinée aux utilisateurs. C’est l’essence-même de Diaspora, financé avant sa création, que de faire participer le public et les « hackers » à sa fabrication. C’est l’absence de failles dans la première version du code qui aurait été surprenante.

On ne peut pas critiquer Diaspora sans prendre en compte la spécificité de son développement et sa génèse. Mais il y a peut-être plus inquiétant à terme que la présence de failles sur un code source qui n’en est même pas encore au stade de version alpha. La société commerciale Diaspora Inc. créée pour développer et éditer le service demande en effet aux développeurs qui participent au projet officiel de signer un « accord du contributeur » qui lui donne tout pouvoir sur le code source, y compris celui de publier une version de Diaspora sous licence propriétaire. Selon Bradley Kuhn, ancien directeur exécutif de la Free Software Foundation (FSF) qui se montre très méfiant envers Diaspora, l’équipe songerait à abandonner la licence AGPL v3 utilisée actuellement.

Certes, l’accord oblige Diaspora Inc. à publier toute modification d’un contributeur sous licence libre si la société choisit de l’utiliser dans une version propriétaire. Mais le risque est surtout de voir un jour Diaspora développer une version propriétaire après avoir profité des dons en argent et en code source de sa communauté pour établir sa notoriété. Des fonctionnalités pourraient alors être ajoutées sans que les versions open-source y aient accès.

Bradley Khun appelle donc la communauté à créer immédiatement un projet parallèle à Diaspora, en reprenant comme base le code source publié, mais sans l’accord de contributeur. D’autres ont déjà arrêté de soutenir Diaspora, et demandent à ce que l’attention soit portée vers GNU Social, le réseau social officiel de la FSF.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !