Google s'est rapproché de la fondation Linux pour financer le salaire de deux développeurs à temps plein afin qu'ils améliorent la sécurité du noyau Linux.

L’actualité dans le monde du libre peut être surprenante, parfois. À l’image de Microsoft qui, en 2016, a rejoint la fondation Linux. Aujourd’hui, c’est une autre nouvelle qui pourra sembler déconcertante chez les libristes : en effet, cette même fondation Linux annonce que Google va participer au financement de deux postes à plein temps, qui ont déjà été pourvus, pour aider à la sécurisation du noyau Linux.

L’intervention de la firme de Mountain View n’arrive pas tout à fait par hasard. Comme le souligne la fondation Linux dans son annonce parue le 24 février, un rapport sur les contributions en faveur des logiciels open source a montré la nécessité d’un effort accru sur la sécurité, et notamment dans le système d’exploitation Linux, qui est très largement répandu.

Dans le rapport, il est relevé que «  les personnes interrogées déclarent consacrer très peu de temps à répondre aux questions de sécurité (en moyenne 2,27 % de leur temps total). En outre, les personnes interrogées ne font pas état d’un désir d’augmenter ce temps de manière significative ». À la place, c’est le développement de nouvelles fonctionnalités et l’amélioration de l’existant qui séduit.

noyau kernel Linux
Un futur libriste ? // Source : Harald Groven

« Je trouve que la tâche de sécurisation est une corvée éreintante et un sujet qu’il vaut mieux laisser aux avocats et aux maniaques de la procédure. Je suis un développeur d’applications », a déclaré l’un des sondés, cité dans le rapport. « Je trouve que la sécurité est un obstacle procédural insupportablement ennuyeux », a lâché un autre, toujours cité dans le rapport.

Le désintérêt d’une large part de la communauté des libristes capables de mettre les mains dans le cambouis est un problème pour la sécurité de nombreux systèmes, car Linux est un système bien plus présent dans l’écosystème qu’on ne le pense. Il sert par exemple aux superordinateurs, qui sont utilisés pour toutes sortes de calculs de haute intensité, mais on le trouve aussi dans des serveurs et les objets connectés.

Google a un intérêt immédiat à sécuriser Linux

C’est aussi sur un noyau Linux que repose Android, le système d’exploitation mobile de Google. On comprend dès lors pourquoi Google se montre aussi préoccupé par sa sécurité. Ce n’est pas par bonté d’âme, mais parce que son O.S. est le leader dans les smartphones, avec une part de marché de 80 %. Cela représente des centaines de millions d’appareils en circulation dans le monde.

Au regard de la puissance économique de Google, mais aussi du poids d’Android, d’aucuns pourraient trouver la contribution modeste et que le géant du net aurait pu financer sans souci quelques postes supplémentaires. Mais il convient de noter que les contributions de la firme de Mountain View en matière d’open source sont en fait relativement variées, et qu’il fournit lui aussi des ressources.

Android se fonde sur le noyau Linux. Google a donc tout intérêt à participer à sa sécurisation. // Source : Louise Audry pour Numerama

D’ailleurs, Google est membre de la fondation Linux, comme Microsoft. L’entreprise a aussi deux représentants au conseil consultatif technique, avec Facebook, Canonical, Intel, Red Hat, Microsoft et VMWare. Google est également présent au sein de l’OpenSSF (Open Source Security Foundation), qui a un groupe de travail visant à sécuriser les projets les plus critiques — dont fait partie le noyau Linux.

Les deux recrues auront comme « objectif exclusif de maintenir et d’améliorer la sécurité du noyau […] de garantir la viabilité du projet de logiciel libre le plus répandu au monde pour les décennies à venir », précise la fondation Linux. « Il est extrêmement important de garantir la sécurité du noyau Linux, car il s’agit d’un élément essentiel de l’informatique et de l’infrastructure modernes », ajoute-t-elle.

L’implication plus importante de Google dans les affaires du noyau Linux rappelle en partie la prise de conscience autour d’OpenSSL, après la faille Heartbleed. À l’époque, un manque de moyens avait été mis en lumière, car la faille existait depuis 2014. Faute d’argent, alors même qu’OpenSSL est très utilisé, y compris par les géants du net, la faille était passée sous les radars. À la suite de cet épisode, plusieurs grandes entreprises ont rejoint la Core Infrastructure Initiative pour éviter que des projets critiques, comme OpenSSL ou GnuPG, cessent de bénéficier de financements.

Partager sur les réseaux sociaux

La suite en vidéo