Une réunion doit évoquer la manière de sécuriser l’open source, avec, en filigrane, la question du financement de projets cruciaux pour la tech.

On a vu ces dernières années s’accumuler les incidents impliquant l’open source : OpenSSL, Log4j et, dans une moindre mesure, les bibliothèques logicielles « faker.js » et « colors.js ». Ces problèmes ne seraient sans doute pas si graves s’il s’agissait de projets utilisés par une poignée d’internautes. Mais certains programmes, comme OpenSSL et Log4j, sont cruciaux à des millions d’autres.

Les problèmes de l’open source ne sont pas liés à la disponibilité du code source. Ils proviennent davantage des moyens insuffisants à disposition de la communauté des développeurs pour bien maintenir les projets. Les volontaires manquent et celles et ceux qui participent le font aussi bénévolement. Pourquoi ? Parce qu’il n’y a pas assez de financement pour payer des équipes pour qu’elles travaillent régulièrement sur tel ou tel projet.

Un fait divers a illustré de manière un peu spectaculaire cette situation : en janvier, il a été rapporté qu’un développeur bénévole a choisi de saboter deux projets open source auxquels il contribuait régulièrement pour dénoncer la précarité de l’open source — et de fait, l’insuffisante sécurité qui peut parfois entourer certains projets. Des milliers d’autres logiciels qui dépendaient de ces deux bibliothèques logicielles, « faker.js » et « colors.js », ont ainsi été entravés.

Rencontre au sommet pour l’open source

Ce problème de financement de l’open source pourrait bien être au menu des discussions qui s’annoncent à la Maison-Blanche entre plusieurs représentants de la Silicon Valley et des membres de l’administration américaine, ainsi que de plusieurs services fédéraux et ministères américains. Cette rencontre a été signalée le 13 janvier par Cyberscoop et reprise par The Verge. Elle doit avoir lieu ce 13 janvier.

Parmi les entreprises représentées à la réunion figurent Apple, Google, Amazon, Meta (ex-Facebook), IBM et Microsoft, qui sont toutes des entreprises américaines ayant des capacités financières très importantes et dont les activités reposent, pour partie, aussi sur de l’open source, à un niveau ou à un autre. Certains de ces groupes contribuent déjà en partie à certains projets, en mettant par ailleurs eux-mêmes des outils en open source.

Log4j
Log4j, ou le problème de la dépendance dans la tech, quand certains projets reposent sur un petit bout de code qui passe presque inaperçu. // Source : XKCD

Le monde de l’open source doit aussi être présent, rapporte la presse anglophone, avec notamment l’Apache Software Foundation, qui encadre justement le projet Log4j, qui a défrayé la chronique fin 2021. Sont aussi annoncés GitHub et la Linux Open Source Foundation. Par ailleurs, l’entreprise américaine Oracle, qui est la firme derrière le langage de programmation Java, qu’utilise justement Log4J, sera aussi de la partie.

Du côté de l’administration, il est question des ministères du Commerce, de la Défense, de l’Énergie, de la Sécurité Intérieure, mais aussi d’agences comme la CISA (Cybersecurity and Infrastructure Security Agency), qui a supervisé la sécurité des élections américaines, et le NIST (National Institute of Standards and Technology), qui planche notamment sur les questions de chiffrement.

Log4j sera un problème à long terme pour la tech

Il peut-être difficile de se rendre compte de l’importance de certains projets open source sur le web. Log4j est une bibliothèque utilisée dans le cadre du langage Java, qui est « appelée » par d’autres programmes, afin d’exécuter certaines actions sans avoir besoin de les écrire, ce qui permet de gagner du temps. En somme, on s’appuie sur le travail d’autres développeurs.

Cette bibliothèque Log4j a pour rôle d’enregistrer l’activité d’une application, via des « logs ». Cela permet de suivre le comportement d’un programme et, si un souci se déclenche, noter le problème dans un rapport d’erreur. Celui-ci peut ensuite servir à effectuer certaines corrections. Le problème, c’est que Log4j a une faiblesse : il est possible de le détourner pour l’obliger à exécuter du code non autorisé (en clair : du code malveillant) sur un serveur utilisant Log4j.

Depuis lors, c’est la course aux correctifs face aux vulnérabilités successives qui sont découvertes. Pour l’heure, il est d’avis général de considérer que le problème avec Log4j risque de durer des années et est vraiment grave, même si le risque n’est pas vraiment perceptible du côté du grand public. Une chose est sûre : les failles dans cette bibliothèque commencent à donner lieu à toutes sortes d’horreurs, comme des botnets, des mineurs de cryptomonnaie ou des ransomwares.

Quand par ailleurs on sait à quel point le domaine du cyberest devenu un terrain d’affrontement entre grandes puissances, où des opérations d’espionnage et de piratage peuvent s’organiser sur plusieurs années, on peut comprendre les craintes de la Maison-Blanche et les raisons pour lesquelles elle organise une telle réunion avec la tech, pour voir comment elle peut être davantage mise à contribution pour éviter un Log4j-bis. En payant davantage, peut-être.