L'équipe du patch Grsecurity destiné à renforcer la sécurité du noyau Linux a décidé de ne plus proposer sa version stable au public, en réaction au comportement d'Intel accusé de ne pas suivre les règles du jeu de la licence GPL et de la marque "grsecurity".

Même si Linux a la réputation d'être le système le plus sûr du monde, sa sécurité est régulièrement mise à l'épreuve et elle le sera de plus en plus avec la multiplication des objets connectés qui, bien souvent, dépendent d'un noyau Linux. C'est donc pour renforcer la sécurité qu'une équipe propose depuis près de quinze ans un patch libre et open-source de chaque nouveau noyau Linux, grsecurity, administré par la société Open Source Security. Celle-ci vit des dons de la communauté, des sponsors, et de ses prestations de consulting dans la sécurité informatique.

Mais l'équipe de grsecurity a annoncé mercredi qu'elle cesserait de distribuer publiquement sous licence libre les versions stables de son patch, et qu'elle les réserverait désormais aux sponsors qui payeront pour avoir le droit de l'exploiter. Sans la citer sous les conseils de son avocat, mais de façon suffisamment explicite pour que tout le monde comprenne, l'équipe dirigée par Brad Spengler accuse Intel de l'avoir contraint à prendre une telle décision.

Spengler raconte en effet que de puissants industriels intègrent les patchs de grsecurity dans leurs solutions embarquées pour les objets connectés ou autres mobiles, en profitant de la licence GPL et de la disponibilité du code source pour ne pas dépenser un centime. Mais certaines d'entre elles, dont Intel, modifieraient le patch sans reverser leurs contributions à la communauté (comme l'impose la licence) ou, pire, prétendraient que grsecurity est implémenté dans leur produit alors qu'il est basé sur un noyau Linux qui n'est pas encore supporté par grsecurity.

DE VRAI-FAUX PATCHS GRSECURITY

Le patch est par exemple cité explicitement dans cette documentation technique (.pdf) sur les profils de sécurité proposés sur les passerelles IoT Intel qui "avec des composants logiciels et matériels de base pré-intégrés et pré-validés, relient les systèmes existants et nouveaux et permettent un flux de données transparent et sécurisé entre les périphériques et le Cloud". "Elles intègrent des technologies et protocoles de mise en réseau, de contrôle embarqué, de sécurité de niveau professionnel et d'administrabilité simplifiée sur lesquels les logiciels d'application reposent", assure Intel.

Or selon grsecurity (qui se contente de parler d'une "entreprise mutli-millardaire qui a fait de grsecurity un composant critique de sa plateforme embarquée"), la promesse de sécurité ne peut pas être faite en utilisant la marque déposée "grsecurity", alors que que le patch utilisé ne serait pas recommandé pour le noyau Linux embarqué, ni son éventuelle adaptation.

L'équipe a mis en demeure Intel de cesser d'utiliser grsecurity ou de se plier aux conditions de la licence, mais l'équipe juridique aurait refusé, estimant qu'il était dans son bon droit d'utiliser le logiciel libre, et niant l'avoir modifié malgré des preuves supposées démontrant qu'un employé d'Intel avait demandé conseils sur le forum du projet. La firme aurait par ailleurs menacé d'exercer tous les recours possibles et imaginables pour que l'éventuelle action judiciaire se transforme en gouffre financier.

D'où la décision de ne plus fournir à Intel et à tous les autres une version stable du patch, mais de continuer à publier une version en cours de développement pour ne pas handicaper des projets libres comme Gentoo Hardened et Arch Linux.

L'annonce a mis en colère la communauté du libre et de la sécurité informatique, dont l'activiste et hacker Jacob Applebaum qui parle d'une nouvelle "terrible" et "tragique" et qui n'hésite pas à pointer du doigt Intel, et la solution de terminaux de paiements Verifone :

Son message a été repris en France par Benjamin Bayart, porte-parole de French Data Network (FDN) et co-fondateur de la Quadrature du Net, qui accuse les pouvoirs publics en apostrophant la ministre du numérique Axelle Lemaire. Il leur reproche de ne pas veiller à l'équilibre des forces et de protéger les grands industriels au détriment de ceux des communautés du libre et, plus globalement, des utilisateurs :

Une colère resté pour le moment sans réponse de l'intéressée.

Partager sur les réseaux sociaux

Articles liés