Discussion :

[Olivier Famien]

Linus appelle les pirates à rejoindre le développement du noyau Linux au lieu d’attaquer son code,
l’open source serait-il en manque de talents ?

Pour entretenir la communauté open source sur les technologies ouvertes comme Linux, les conteneurs, le cloud computing et plus encore, un évènement (Open Source Summit) qui a démarré depuis hier à Los Angeles aux États-Unis et s’étend jusqu’au 14 septembre. Cette conférence qui est une fédération de quatre évènements (LinuxCon, ContainerCon, CloudOpen et la New Open Community Conference) regroupe plus de 2000 développeurs, opérateurs, et professionnels en vue de collaborer et partager les informations sur les technologies ouvertes.

Pour la première journée d’Open Source Summit, Linus Torvalds, le créateur du noyau Linux a été invité afin de répondre aux questions de Jim Zemline, le directeur exécutif et fondateur de la fondation Linux. Lors de l’entretien, Linux a montré que ce qui le réjouissait en travaillant sur le noyau Linux est qu’il travaille sur quelque chose qui a de la valeur, et qui a un impact dans le monde professionnel.

Abordé dans ce sens, l’on pourrait se dire que la vie professionnelle de Linus est plus que parfaite. Il a embrassé une carrière qu’il aime. Il maîtrise son activité. Il travaille sur un projet qui est sous le feu des projecteurs. Mais Linus explique que son travail n’est pas aussi prestigieux qu’on pourrait le croire, car il est obligé de travailler à distance à la maison en peignoir. À plusieurs reprises, il a même été surpris à 3 h de l’après-midi alors qu’il était encore en peignoir, ajoute le fondateur de Linux. Pour ajouter un brin d’humour, le directeur de la fondation Linux a ajouté qu’à la fondation, il y a une politique qui oblige à prendre une douche avant midi. À cette remarque, Linus répond que c’est la raison pour laquelle il travaille à distance à la maison au lieu de se présenter au bureau.

Mais passé ces sujets, le créateur de Linux a abordé un sujet un peu plus sérieux et qui est la sécurité du noyau open source Linux qu’il développe. Il faut souligner que les projets open source, bien qu’ils passent par l’analyse de nombreux contributeurs afin de détecter des failles de sécurité, sont également ciblés par de nombreux pirates informatiques qui parviennent dans bien des cas à trouver la parade pour infiltrer les systèmes ou applications ciblés. Récemment, une faille dans le framework web Apache Struts a été exploitée par des cybercriminels pour accéder aux données personnelles d’environ 143 millions d’Américains gérées par Equifax, une agence de déclaration de crédit à la consommation aux États-Unis.

Sur le point de la sécurité de son noyau, Linus s’est voulu formel. « La notion de sécurité absolue n’existe pas ». « Même si nous faisons un travail parfait — et nous essayons de le faire — soyons honnêtes, il y aura toujours des bogues », a-t-il déclaré.

Il a toutefois précisé pour rassurer les utilisateurs que de nombreux contrôles de sécurité, y compris des analyses statiques et des tests à données aléatoires (le fuzzing) qui consistent à tester un logiciel en injectant des données aléatoires dans les entrées d’un programme, sont effectués pour le noyau.

Mais comme il l’avait déjà signifié, le fondateur du noyau tournant avec les systèmes d’exploitation GNU/Linux rappelle que « vous ne pouvez pas atteindre une sécurité absolue », car quelqu’un pourra toujours développer un projet sur le noyau qui introduira une vulnérabilité, même si ces développeurs font de leur mieux pour ne pas en créer.

Aussi concernant l’exploitation des failles, le créateur de Linux Kernel n’a pas manqué d’exprimer son étonnement vis-à-vis de l’ingéniosité dont font preuve ceux qui attaquent le code Linux. Et à ce sujet, Linus a lancé un appel à ces derniers en déclarant que « parfois, j’ai l’impression que ces gens intelligents font de mauvaises choses, mais j’aimerais qu’ils soient de notre côté parce qu’ils sont si intelligents et qu’ils pourraient nous aider ». Pour préciser sa pensée, il ajouta que « c’est là ce que je souhaite que nous atteignions. Nous devons essayer de récupérer autant de ces personnes intelligentes avant qu’elles basculent dans le côté obscur, ce qui permettrait d’améliorer la sécurité en ayant beaucoup de développeurs ». Et de conclure à ce sujet : « Je veux encourager les gens qui sont intéressés par la sécurité à nous rejoindre au lieu de nous attaquer. »

Bien que cet appel soit louable, pensez-vous qu’il sera attendu par les acteurs exploitant leurs compétences de développeurs à mauvais escient ? Certaines personnes s’adonnant à ces pratiques répréhensibles déclarent tirer d’importants revenus en trouvant et en exploitant les failles de sécurité dans ces systèmes. Pour plusieurs personnes, en motivant financièrement ces développeurs malveillants, ils pourraient mettre leurs compétences à un but plus utile.

Mais d’un autre côté, d’autres soulignent qu’il y a déjà les Bug Bounty qui existent déjà, mais cela n’empêche pas qu’après avoir trouvé des failles, ces tiers malveillants préfèrent les vendre sur le dark web.

Mais au-delà de ces opinions controversées, l’on pourrait se demander si la communauté de contributeurs ope -source ne dispose plus de talents pour soutenir le développement du noyau Linux.

Source : Linux Foundation, YouTube

Et vous ?

Que vous suggère l’appel lancé par Linus ?

La communauté ope -source serait-elle en manque de talents ?

L’appel de Linus sera-t-il entendu ?

Voir aussi

Linus Torvalds explique pourquoi une plateforme informatique totalement sécurisée n’existera jamais, Partagez vos avis
« L’open source fonctionne grâce à l’égoïsme », pas grâce à l’altruisme, Linus Torvalds ajoute l’importance de la confiance

[N_BaH]

« Je veux encourager les gens qui sont intéressés par la sécurité à nous rejoindre au lieu de nous attaquer »
va faire comprendre au scorpion qu'il ne doit pas piquer la grenouille.

[transgohan]

Pirate > "Mais m'sieur ! Pourquoi je devrai aller me faire chier à aider une communauté open-source gratuitement alors que je peux me faire du fric sur leur dos avec leurs failles ?"

[Max Lothaire]

« Oui venez nous rejoindre pour que vous puissiez introduire vos portes dérobées direct dans le noyau. »

Sérieusement, on parle de cybercriminel, de gens dont le but et de faire de l'argent.
Torvald n'est pas spécialement brillant sur ce coup.

[Bestel74]

« Oui venez nous rejoindre pour que vous puissiez introduire vos portes dérobées direct dans le noyau. »

Sérieusement, on parle de cybercriminel, de gens dont le but et de faire de l'argent.
Torvald n'est pas spécialement brillant sur ce coup.

Nous devons essayer de récupérer autant de ces personnes intelligentes avant qu’elles basculent dans le côté obscur, ce qui permettrait d’améliorer la sécurité en ayant beaucoup de développeurs

De plus dire ça c'est aussi sous-estimé les étapes de review qu'il y a avant que du code soit mergé.
Voir : https://www.developpez.com/actu/6240...-code-injecte/

[Invité]

C'est le genre d'appel qui n'aura pas énormément de répercussions, mais si ça permet d'orienter une seule personne c'est positif. De plus ça ne coûte vraiment rien donc pourquoi s'en priver ?

[abriotde]

Pourquoi je devrai aller me faire chier à aider une communauté open-source gratuitement

Eh bien peut-être parce que travailler sur Linux rapporte gros, tu aura un bon salaire, ne risquera pas la prison et mieux tu gagnera de l'argent même quand tu ne trouve rien. C'est la sécurité du salaire.
Ceci dit bien évidemment que beaucoup de hacker ne travaillent pas en illégalité mais sous le couvert d'un gouvernement ou d'une organisation très puissante.

[hotcryx]

Je trouve Linus, GG (Good game) sur ce coup.
Il aime travailler seul.

Si certains des hackers sont brillants, ils trouveront du boulot à coup sûr et cela permettrait de les diriger dans le droit chemin.

Avant de pouvoir introduire une porte dérobée, il faudrait déjà être dans le top des quelques personnes (5-6) validant et distribuant le noyau.
Et ce sont ses amis proches...

[Picarunix]

Comment peut-il faire autrement ?
C'est le leader du noyau qui porte son propre nom !
Il a le devoir moral et technique d'en faire quelque chose dont on a confiance.

Lancer un appel vers les pirates qui s'enrichissent grâce aux failles du noyau, c'est à la fois souligner que le noyau n'offrira jamais une sécurité totale et qu'en plus les esprits brillants de certains pirates sauront toujours en profiter.

Si certains d'entre-eux s'allient à lui, cette force additionnelle pourrait freiner cette malveillance ou tout au moins leur compliquer la tâche.

[hbomb]

Je trouve que son intervention fait très "ouin-ouin, pitié laissez mon code tranquille"...

je lui souhaite que ça porte ses fruits, mais je n'y crois pas vraiment

[_FLX_]

"Nous devons essayer de récupérer autant de ces personnes intelligentes avant qu’elles basculent dans le côté obscur"

Ceux qui ne franchissent pas la ligne grise ont-ils les compétences suffisantes pour se protéger contre ceux qui la traversent à volonté ?

[ok.Idriss]

C'est quelqu'un que j'admire mais pour le coup je ne me fierais et ne demanderais jamais d'aide à quelqu'un dont je sait qu'il est mal intentionné.

Pour moi les pirates qui aident les "gentils" c'est que dans les mauvais films que ça devrais exister.

P.S: je ne désigne pas l'ensemble des hackers et activistes du web mais uniquement ceux qui font de l'escroquerie lucrative