Discussion :

[fredyn]

Bonjour,
je suis nouveau ici et j'ai une question pour les spécialistes de l'open-source.

On voit écrit partout que l'open-source augmente la sécurité car des experts peuvent vérifier qu'il n'y a pas de code malveillant dans le programme.
C'est vrai que si je recompile moi-même un programme à partir des sources trouvés par exemple sur github, cela me donne une certaine tranquilité sur ce point.

Mais la très grande majorité des utilisateurs n'a ni les connaissances ni les outils pour pour faire cette compilation.

Dans ces conditions, je me pose les questions suivantes:

1. comment s'assurer qu'un exécutable qui se revendique open-source ne contient pas de code malveillant?
2. comment savoir qui a effectivement vérifié les sources et quelle efficacité a eu cette vérification ?
3. le fait que les sources soient disponibles ne va-t-il pas simplifier la tâche de ceux qui veulent fabriquer des version malveillantes ?
4. Etant moi-même développeur, ai-je intérêt à rendre mon code open-source.

Merci d'avance pour vos réponses.

[LittleWhite]

Bonjour,

Je vais essayer d'être objectif et neutre quand à mes réponses.

comment s'assurer qu'un exécutable qui se revendique open-source ne contient pas de code malveillant?

Si vous téléchargez un logiciel (pré-compilé), il faut au minimum vérifier la signature (souvent PGP) ou le checksum, pour valider que vous téléchargez le fichier réellement proposé par les créateurs. En effet, il arrive qu'à côté du bouton de téléchargement, vous avez accès à la signature. Voici un exemple : https://manjaro.org/download/ (il y a des boutons pour avoir les "checksum").
Cela vous donne une première "précaution". Bien entendu, il faut faire confiance aux créateurs.

Ensuite, il y a la possibilité de relire le code. Il est normal de se dire que personne le fait, toutefois, dans le cadre d'un projet open source, vous avez le choix de le faire (ou la possibilité). Dans le cas d'un logiciel fermé, seul les employés le font et la direction du logiciel ne dépend que de l'entreprise le produisant (avec tout ce que cela sous entend, dont notamment, le côté économique de la chose. Rien n'empêche quelqu'un dans la société, ou même les dirigeants de recevoir des sous pour introduire une faille, ou pour tout autre chose. Et même à des fins non néfaste, rien n'empêche la société de prendre une direction, favorisant les revenus pour faire plaisir aux actionnaires (je caricature un peu).). Bref, du côté des logiciels open source, la possibilité existe aussi, mais c'est tout de même plus compliqué et souvent, cela se traduit en un fiasco, car au bout d'un moment, vous aurez quelqu'un qui sera passé par là et qui aura vu les changements néfastes dans le projet.Et ce quelqu'un, cela peut être vous, un étudiant, un pro ou n'importe qui. Alors que dans une entreprise, à part les employés... bah c'est tout.

Mais pour être tout à fait franc, vous n'avez aucune garantie. Mais dans ce aucune garantie, vous pouvez toujours vérifier par vous même, ou prendre toute vos précautions (exécution dans une sandbox, observation et tout autre chose que vous pourriez faire pour en être sûr).
Après, même un projet random sur Github (ou autre), peut être dangereux. On ne va pas exécuter n'importe quel code (et ce même si on le compile soi même), n'importe quel binaire, si on n'est pas sûr de la source.

comment savoir qui a effectivement vérifié les sources et quelle efficacité a eu cette vérification ?

Je ne pense pas qu'il y a une liste officielle maintenue qui dit, telle ou telle personne à vérifier tel ou tel code source. Cela vaudrait d'une part dire que vous devriez connaître ce beau petit monde. De plus, quelque soit les vérifications, les méthodes évoluent. Je veux dire, certains logiciels/code source reçoivent des audits, réalisés par des sociétés spécialisées et cela sera indiqué, mais si demain on invente une nouvelle attaque profitant d'une faiblesse de sécurité jusque là inconnu, alors même après audit, le logiciel sera toujours faillible. Il faut comprendre que l'audit est réalisé pour réduire les failles et les faiblesses, mais le risque zéro n'existe jamais (là, j'ai un peu dévié le débat en parlant de sécurité). Bref, non, il n'y a pas de liste, juste les rapports indiquant si un audit à eu lieu par une société connue dans ce genre de pratique.
Il y a aussi les campagnes de bug bounty, qui ne sont pas des audit, mais qui participent à la sécurisation des logiciels. C'est une très bonne chose, que tout un chacun peut aller chercher une faille, dans un cadre reconnu et être récompensé. Cela augmente l'intérêt de trouver des failles (et de faire en sorte qu'elles soient connues et corrigées).

Je viens de me rappeler, un des avantages du code source, c'est qu'il est vraiment possible de prendre le code et de faire des scans et des recherches de faille dedans. Regardez par exemple la "récente" faille sudo.

De mémoire, cela a été découvert par lecture du code (par une personne qui a l'expérience dans le domaine). Mais on peut aussi voir qu'avec les logiciels open source, il est possible de faire ce genre de lecture facilement et il est aussi aisé de penser faire un scan automatisé de tous les logiciels dont le code est ouvert. D'ailleurs, je pense que c'est effectué pour une bonne partie des logiciels de nos distributions Linux.

le fait que les sources soient disponibles ne va-t-il pas simplifier la tâche de ceux qui veulent fabriquer des version malveillantes ?

Et cela simplifie aussi la fabrication des logiciels commerciaux .
Il y a un marché et un commerce des logiciels malveillants. Un développeur peut très bien coder dans son coin un logiciel malveillant et le revendre. On pourrait aussi répondre : ne faudrait t-il pas interdire la vente de marteau, car cela facilite la conception d'armes.
Donc, je dis non. Mais, je n'arrive pas à trouver la bonne formulation pour expliquer ma réponse . Oui, cela facilite, mais cela facilite la vie de tous le monde. Regardez le nombre de logiciels reposant sur des composants libres (OpenSSL, libcurl). Il y a même des compilateurs open source qui sont certainement à l'origine de logiciel malveillant (bon, plus sérieusement, j'ai souvent vu qu'ils étaient compilés avec le compilateur de Microsoft... Oh my god, il faut emprisonner Microsoft \ o / ).

Etant moi-même développeur, ai-je intérêt à rendre mon code open-source.

Cela est un choix personnel. Il y a des pour et des contres et je pense que c'est une façon de penser/voir le monde. Il est donc à vous de vous faire votre propre opinion.

[fredyn]

Merci LittleWhite, c'est très clair et très complet.

Je suis d'accord, il y a plein de bonnes raisons de faire de l'open source et ma préoccupation concernait surtout l'argumentation vis-à-vis de l'utilisateur final qui n'est pas développeur.
Cela conforte mes propres reflexions