Discussion :

[Fagus]

C'est un peu comme l'histoire du 1er virus-ver par courriel. D'un seul coup, on se rend compte à quel point rien n'est sécurisé par conception, car "les gens qui utilisent ce système sont bienveillants".

ça veut dire qu'il va falloir mettre des antivirus sous linux avec un moteur comportemental pour les bombes logiques, des sandbox, des analyseurs plus poussés de code sur les serveurs.

Edit : Sous windows on peut plus ou moins se protéger de ce genre d’attaques avec la protection contre les ransomware (controlled folder access), qui bloque par défaut l'écriture des programmes non autorisés dans les dossiers utilisateurs protégés.
kain_tn me fait découvrir AppArmor sous linux supra : ça a l'air assez puissant mais peu pratique (pas de GUI) et nécessite de créer des profils : mais est-ce applicable par défaut à tout programme sans que ce soit ingérable ? est-ce applicable à un script ou un module d'un ensemble de scripts, ou bien est-ce que la règle s'applique à l'interpréteur de scripts (et donc à tous les scripts ?) ?

[kain_tn]

ça veut dire qu'il va falloir mettre des antivirus sous linux avec un moteur comportemental pour les bombes logiques, des sandbox, des analyseurs plus poussés de code sur les serveurs.

Pas tout à fait. Pour les sandbox et les analyseurs de code, oui, c'est de toutes les façons une bonne pratique, sauf que l'analyseur de code devrait se trouver dans ta chaîne de compilation, pas sur le serveur vers lequel ton code sera déployé.

Pour ce qui est des antivirus pour analyser le comportement d'un programme en boîte noire, tu peux aussi faire tourner ton programme sur un serveur de test et lancer un "strace -f" pour analyser ce que fait le dit programme. En gros, ça trace tous les appels système, donc tu peux réellement voir ce qui est fait par le programme et ses processus enfants. C'est laborieux, mais c'est encore une des meilleures solutions si tu veux savoir ce que fait un programme pour lequel tu n'as pas les sources.

D'ailleurs sous windows il y a une protection assez correcte contre ce genre d'attaques : si on active la protection contre les ransomware (controlled folder access), un programme avec les privilèges utilisateur1 n'a pas le droit par défaut de modifier les fichiers personnels de l'utilisateur1 dans "mes documents", etc. Par contre, un programme malveillant avec les privilèges utilisateur devrait modifier je pense les données des autres programmes de mêmes privilèges (contrairement à android).

Ça existe depuis deux décennies sous Linux et plus encore si tu prends en compte les sandbox types BSD jails.

Quelqu'un sait s'il y a un "controlled folder access" sous linux, (sans sandbox) ? (c'est à dire qu'un programme par défaut n'a pas le droit d'écrire dans les fichiers utilisateurs dans /home)

SELinux (même si je lui préfère du sandboxing) étend le système de permissions de Linux et permet ce genre de choses. Personnellement, je le trouve quand même compliqué et je lui préfère AppArmor, des chroot, des VMs, des conteneurs, etc.


EDIT:

kain_tn me fait découvrir AppArmor sous linux supra : ça a l'air assez puissant mais peu pratique (pas de GUI) et nécessite de créer des profils : mais est-ce applicable par défaut à tout programme sans que ce soit ingérable ?

Alors les programmes courants ont des profils existants par défaut dans les distributions, ce qui te permet d'éviter de les faire toi-même pour commencer. (par exemple docker a un profil AppArmor, actif par défaut d'ailleurs)

Tu as aussi plusieurs modes dont un mode d'audit qui te permet de générer des profils lorsque tu utilises un programme, pour bien évidemment ensuite le modifier pour en retirer les parties qui ne te plaisent pas.

Je ne connais malheureusement pas de GUI pour faire tout ça.

est-ce applicable à un script ou un module d'un ensemble de scripts, ou bien est-ce que la règle s'applique à l'interpréteur de scripts (et donc à tous les scripts ?) ?

En principe, les profils sont appliqués en fonction du chemin vers un binaire, mais il me semble que tu peux utiliser des wildcards pour que ça puisse correspondre à plusieurs binaires/processus à la fois.


Pour ma part, j'essaye d'être pragmatique car ça prend du temps de tout micro-gérer:

• Si le programme tiers ne fait pas partie de mes dépôts système, et qu'il n'a pas de GUI => conteneur (AppArmor appliqué, donc)
• Si le programme tiers ne fait pas partie des dépôts du système mais qu'il a une GUI, alors soit je lui crée un profil AppArmor, soit je le mets directement dans une VM
• Si le programme est un navigateur en lequel j'ai confiance => profil AppArmor (du fait de la possible exécution de code tiers, même si j'ai plusieurs plugins pour désactiver tout ça par défaut)
• Si le navigateur est quelque chose dont j'ai besoin mais dans lequel je n'ai pas confiance => VM

Évidemment, tout ça ne remplace pas les règles de base, que ce soit du serveur ou un poste client (plusieurs comptes, sudo sans timeout pour réauthentifier à chaque fois, éventuellement des clés FIDO, peu de dépôts tiers, des MAJ fréquentes, utilisation du matériel réseau pour cloisonner les zones, isolation de ports, sauvegardes régulières, etc.).

[kbadache]

C'est pour cela que j'utilise uniquement des librairies / framework open source qui viennent d'entreprise (Google avec Angular, Facebook React, VMWare Spring...).
Il y a beaucoup plus de chance que ça soit carré car elles mettent leurs nom en jeu.
Les lib open source fait par un mec le dimanche, c'est sympa de ça part, mais trop peu de garantie sur le code produit ou la durée de vie de la lib.
Et svp arrêtez d'utiliser des libs qui contiennent qu'une ligne de code !

[quanta]

L'hystérie occidentale est sans borne.

[homex]

Effectivement cette modification est assez préjudiciable

Je me pose juste une question concernant les personnes impactées.

Personnes ne fait de tests concernant les dépendances avant d'intégrer les dernières versions ?

Cela me semble un minimum de tester les nouvelles versions de dépendances sur des environnements dédiés avant de déployer sur les architectures critiques

[thamn]

Quand le racisme primaire est fait pour "la bonne cause" tout va bien quoi.

Je comprends qu'on puisse vouloir aider, mais qu'on veuille essayer de nuire en ciblant a la suppose identite du proprietaire c'est vraiment profiter de la situation pour faire le petit c**.. Plus globalement, c'est comme si le monde entier venait subitement de se rendre compte que la guerre c'est mal et triste.. Et aussi comme si tout le monde se sentait un super hero..

Pourtant je pense pas qu'il y ait eu beaucoup de gens qui ont mal dormit quand il y a eu la guerre en Syrie ou en Tchetchenie. Ou toute les autres guerres d'ailleurs, genre en ce moment en Birmanie par exemple, tu me diras les mecs la bas se sont tellement fait avoir qu'ils risquent pas d'avoir besoin d'un foutu paquet NPM.

[Mister Nono]

Tout cela montre l'importance des tests avant d'utiliser un code.

Et oui, beaucoup de soi-disant professionnels oublient le "b a ba" du métier, ou alors on ne leur a jamais appris car aujourd'hui on soi-disant-forme des informaticiens en seulement quelques semaines.

Ici on retrouve l'intérêt des formations longues et sérieuses comme les formations universitaires d'ingénieurs.

[thamn]

Tout cela montre l'importance des tests avant d'utiliser un code.

Et oui, beaucoup de soi-disant professionnels oublient le "b a ba" du métier, ou alors on ne leur a jamais appris car aujourd'hui on soi-disant-forme des informaticiens en seulement quelques semaines.

Ici on retrouve l'intérêt des formations longues et sérieuses comme les formations universitaires d'ingénieurs.

Parce que toi en bon professionel qui a passe un tier de sa vie a faire semblant d'ingurgiter des trucs sans interet, tu test les libraries externes que tu utilise peut-etre???

[Bruno]

Les victimes technologiques de la guerre de la Russie en Ukraine : l'open source et le cloud,
la licence Open Source est assez claire : pas de discrimination contre des personnes ou des groupes

Tetiana, 43 ans, Mykyta, 18 ans, Alisa, 9 ans, la liste des victimes civils ne cessent de s’alloudir en Ukraine. Trois semaines après le début de l’invasion russe en Ukraine, au moins 726 civils dont 52 enfants ont été tués et plus de 1 250 blessés, selon le dernier décompte de l’ONU du 17 mars. Derrière ces chiffres accablants et le flot incessants d’images des combats, il existe également « des victimes technologiques » de la guerre en Ukraine. Selon Gerald Benischke, consultant en ingénierie logicielle, l'open source et le cloud seraient deux de ses nombreuses victimes.

Dans un article intitulé On the Weaponisation of Open Source, Gerald Benischke examine comment l'invasion de l'Ukraine par la Russie s'est répercutée sur les domaines du développement logiciel, avec des conséquences inattendues. Benischke s'intéresse en particulier à la décision de MongoDB de couper ses services en Russie, au changement destructeur d'une bibliothèque de nœuds qui a supprimé des fichiers sur des IP russes, et même à un changement de code/licence dans un module terraform communautaire pour affirmer que Poutine est une « tête de nœud ».

MongoDB coupe les clients russes et déclare : « Nous avons le regret de vous informer qu'en raison des nouvelles sanctions américaines et internationales à l'encontre de la Russie et de la Biélorussie, votre atlas MongoDB, environnement......, sera résilié. Si vous avez des données importantes, nous vous conseillons de télécharger des sauvegardes immédiatement avant qu'elles ne deviennent définitivement irrécupérables », déclare MongoDB.

« Vous vous demandez à quoi pourrait ressembler votre système informatique si d'autres fournisseurs IaaS, PaaS et SaaS décidaient de vous fermer. Et si AWS décidait de fermer votre compte ? Dans quelle mesure votre dépendance à l'égard du cloud est-elle critique pour votre entreprise ? », interroge Oleg Brodt, Directeur de l'innovation, Cyber@Ben-Gurion University.

Notons que MongoDB est un système de gestion de bases de données orienté documents, répartissable sur un nombre quelconque d'ordinateurs et ne nécessitant pas de schéma prédéfini des données. Il permet de manipuler des objets structurés au format BSON (JSON binaire), sans schéma prédéterminé. Il est écrit en C++. Le serveur et les outils sont distribués sous licence SSPL.

Selon certains témoignages, MongoDB est une technologie qui change la vie de nombreux développeurs, leur permettant de créer des applications plus rapidement qu'avec des bases de données relationnelles. Cependant, MongoDB a abandonné ses racines Open Source, en changeant la licence en SSPL, ce qui le rend inutilisable pour de nombreux projets Open Source et commerciaux.

Selon le consultant en ingénierie logicielle Gerald Benischke, il y aurait un peu d'incohérence dans le secteur technologique pour savoir si une offre SaaS et le paiement d'un abonnement équivalent à une nouvelle vente, mais je pense que c'est dans l'esprit des sanctions, rendre difficile l'activité des entreprises russes.

Mongo est une entité commerciale et, en tant que telle, elle peut choisir à qui vendre ses produits. Bien que Benischke déclare son accord avec la décision de MongoDB de se couper des clients russes, le consultant indique que, « cela pose une question intéressante ». « Qu'arriverait-il à votre organisation si un fournisseur de services disparaissait ? Je ne pense pas que cela signifie que nous devions tous nous précipiter pour construire nos propres centres de données, écrire nos propres bases de données et exécuter tous nos propres services.

« La simplification et l'optimisation de l'utilisation du logiciel en tant que service ne doivent pas être négligées. Toutefois, il n'est pas inutile d'être prudent et de procéder à une évaluation des risques pour savoir ce qui se passerait si le service disparaissait. Encore une fois, je ne pense pas que cela doive être considéré comme une incitation à tout exécuter en multi-cloud, car je pense que l'augmentation globale de la complexité réduirait en fait la fiabilité. »

Le développeur à l'origine du populaire paquet npm node-ipc a expédié ce mois-ci une nouvelle version pour protester contre l'invasion de l'Ukraine par la Russie. Mais les changements ont introduit un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur. Néanmoins, cet acte de sabotage a suscité de nouvelles inquiétudes quant à la sécurité de la chaîne d'approvisionnement des logiciels et des logiciels libres.

Notons que, node-ipc est un module Node.js pour « la communication interprocessus locale et distante » avec un support complet pour Linux, Mac et Windows. Il supporte également toutes les formes de communication par socket, des sockets bas niveau d'Unix et de Windows aux sockets UDP et sécurisés TLS et TCP. Avec plus de 1,1 million de téléchargements hebdomadaires, node-ipc est un paquet important utilisé par des bibliothèques majeures comme Vue.js CLI.

Cependant, le développeur de node-ipc, Brandon Nozaki Miller, a saboté le paquet pour nuire aux utilisateurs se trouvant en Russie ou en Biélorussie, en vue de militer contre l'invasion russe en Ukraine. Sous le nom de « protestware », la dépendance peacenotwar a été injectée dans des dépendances qui affectaient vuejs cli (et unreal unity selon certains rapports). peacenotwar vérifie l'adresse IP de l'ordinateur sur lequel il s'exécute et, s'il est considéré comme se trouvant en Russie, supprime tous les fichiers.

« Cette histoire est un peu plus sinistre », déclare Benischke. Maintenant, les attaques de la chaîne d'approvisionnement contre les modules de nœuds n'ont rien de nouveau. Il ne se passe pas beaucoup de mois sans que l'on entende parler parler d'un module de nœud détourné qui installe des portes dérobées ou des cryptomonnaies. « Je pense que l'on peut tous se mettre d’accord pour dire que ces attaques sont malveillantes et que les actions sont celles de criminels. Ces actions doivent être condamnées, d'autant plus que le fait de "supprimer des fichiers en fonction des adresses IP de géofencing" risque de provoquer des dommages collatéraux. »

« Je ne sais pas quelle est la part de vérité dans la question soulevée sur le dépôt peacenotwar selon laquelle une ONG américaine a perdu 30 000 fichiers documentant les crimes de guerre russes - mais il faut se rappeler que la géolocalisation n'est pas toujours juste », précise le consultant en ingénierie informatique.
Des preuves anecdotiques d'erreurs d'identification d'adresses IP font de cette arme une arme très aveugle. On pourrait réfléchir au fait que si les bombardements massifs de cibles civiles par les forces armées russes doivent être abhorrés, l'effacement global des fichiers dans la plage d'adresses IP de la Russie n'est pas exactement une action ciblée.

« Enfin, j'aimerais revenir sur une histoire selon laquelle les modules terraform de la communauté pour AWS ont été mis à jour pour inclure des déclarations politiques », déclare Benischke. Il y aurait d'abord eu une modification de la licence « Conditions d'utilisation supplémentaires pour les utilisateurs de Russie et du Belarus ».

En utilisant le code fourni dans ce dépôt, vous acceptez ce qui suit :

• La Russie a illégalement annexé la Crimée en 2014 et a apporté la guerre dans le Donbas suivie d'une invasion à grande échelle de l'Ukraine en 2022 ;
• La Russie a apporté de la tristesse et des dévastations à des millions d'Ukrainiens, tué des centaines d'innocents, endommagé des milliers de bâtiments et forcé plusieurs millions de personnes à fuir ;
• Poutine khuylo !

En outre, cette acceptation a été incluse dans le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
variable "putin_khuylo" {
   description = "Do you agree that Putin doesn't respect Ukrainian sovereignty and territorial integrity? More info: https://en.wikipedia.org/wiki/Putin_khuylo!"
   type        = bool
   default     = true
}

En mettant la variable à false, le module de terraformation ne fonctionnerait pas. Selon Benischke, c'est problématique sur deux fronts :

1. Cela ne devrait plus être classé désormais comme open source ;
   
   La définition d'une licence Open Source est assez claire : « Je n'ai pas vraiment envie de devoir lire chacune de mes licences de dépendances et de dépendances transitives pour déterminer si j'accepte des termes discriminatoires en utilisant une bibliothèque. » « Je pense qu'il est tout à fait indésirable de politiser/armer l'open source de cette façon. Selon le type d'organisation avec laquelle vous travaillez, il pourrait être totalement inacceptable et hors de portée des permissions pour un ingénieur d'accepter ce genre de contrats. Je ne peux pas imaginer qu'une agence gouvernementale veuille découvrir que le logiciel qu'elle utilise lui impose une certaine position politique. »
   
   
   • Qu'en est-il d'une licence qui exige que vous vous absteniez de manger de la viande ou que vous la souteniez ?
   • Qu'en est-il d'un permis qui exige que vous soyez pro-vie/pro-choix ?
   • Qu'en est-il d'une licence qui exige que vous votiez démocrate/républicain ?
   
   
2. Cela ne pourrait pas s'appliqué ;
   
   Certains analystes soutiennent qu'il n'est pas pratique d'encoder la moralité dans les licences, car elle serait de toute façon soit ignorée, soit bifurquée. La licence JSON « Le logiciel doit être utilisé pour le bien et non pour le mal » est inapplicable, et les licences sont conçues avec la clause 6 à l'esprit : « Pas de discrimination contre les domaines d'activité » afin d'éviter les pièges des licences provenant de dépendances en aval.
   
   Selon Gerald Benischke, le résultat du changement putin_khuylo est que ce module terraform AWS ne peut plus remplir aucune de ces clauses et ne peut donc plus être classé comme open source. L'auteur de la modification en aurait discuté sur Hacker News et a depuis changé la clause en « Informations supplémentaires » plutôt qu'en « Conditions générales supplémentaires » mais la modification du code putin_khuylo reste dans le module.
   
   Selon Gerald Benischke, cela soulève des interrogations sur la « sécurité » de ces composants. Il semble que ces modifications aient été apportées directement dans la branche principale sans demande de révision, ce qui suggère un manque de processus de révision. Ces actions ont eu un impact négatif sur la confiance dans les mainteneurs. Et cela amène à se demander si l'utilisation de ces composants est sûre.
   
   De plus, du point de vue des licences, certaines organisations ont des directives concernant les licences autorisées. Ainsi, si l'on peut démontrer que le code enfreint les clauses de la licence, est-il toujours possible de l'utiliser en toute sécurité ? Certaines histoires de guerre sur la suppression frénétique de bibliothèques sous GPL "infectieuses" font penser que les avocats pourraient avoir une journée de travail.

Le problème des dépendances dans l'ingénierie logicielle moderne est que seules les plus grandes organisations ont les ressources nécessaires pour écrire toutes leurs propres bibliothèques (par exemple Google, mais d'autres organisations comme Goldman Sachs serait également dans cette catégorie). La plupart des organisations n'ont tout simplement pas la capacité de tout écrire à partir de zéro, et ce pour une bonne raison : l'objectif de l'open source est la collaboration et la réutilisation, il doit y avoir une certaine confiance.

Imaginons une organisation où il y a des centaines d'équipes et des milliers de microservices. Et essayons de réfléchir à la manière dont on peut évaluer le risque de milliers de dépendances et de millions de lignes de code. « Sans confiance, le seul moyen d'y parvenir serait de forker toutes les librairies, d'empêcher l'open source et, plus généralement, de tuer toute agilité et toute vélocité », déclare Benischke.

La Russie est sur le coup de nombreuses sanctions : la chaîne d'information russe RT (Russia Today) a dû se retourner vers la plateforme de vidéo en ligne Rumble sur laquelle elle poursuivra ses diffusions. Google a procédé au blocage des applications mobiles liées à RT et Sputnik sur sa boutique d’applications Play en Europe, les spécialistes de la filière IT ne peuvent partir du pays ou subvenir à leurs besoins en raison des restrictions imposées par Visa et Mastercard, etc. Red Hat a allongé la liste et fait l’annonce de l’interruption de ses ventes et services en Russie et en Biélorussie. La Russie pour sa part envisage de légaliser le piratage de logiciels dans certains cas afin d’atténuer les sanctions.

Je [Paul Cormier - président et CEO de Red Hat] suis sûr de parler au nom de tous lorsque je dis que la guerre qui se déroule en Ukraine est déchirante. En tant qu'entreprise, nous sommes unis à toutes les personnes touchées par la violence et nous condamnons l'invasion de l'Ukraine par l'armée russe. Nous ajoutons nos voix à celles qui appellent à la paix et nous continuerons à travailler pour assurer la sécurité de nos associés touchés et de leurs familles de toutes les manières possibles.

Le géant des logiciels d'entreprise Oracle a déclaré qu'il avait suspendu toutes ses opérations en Russie, tandis que son rival SAP a annoncé plus tard qu'il suspendait toutes ses ventes dans le pays à la suite de l'invasion de l'Ukraine par Moscou. Les sanctions économiques contre la Russie sont un mécanisme important dans les efforts pour restaurer la paix. SAP est en échange constant avec les gouvernements du monde entier, « nous avons toute confiance en leurs conseils et nous soutenons pleinement les actions entreprises jusqu'à présent. Nous cessons toute activité en Russie alignée et en outre, nous interrompons toutes les ventes de services et de produits SAP en Russie ».

La Russie est aujourd'hui confrontée à une grave crise du stockage informatique après le retrait des fournisseurs occidentaux de services cloud, ce qui ne laisse à la Russie que deux mois avant d'être à court de stockage de données. Le gouvernement russe se prépare à cette pénurie de capacités informatiques, qui pourrait entraîner dans les prochains mois des problèmes de fonctionnement des systèmes d'information de l'État. Selon les médias russes, les autorités sont prêtes, si nécessaire, à racheter la capacité des centres de données commerciaux et à reprendre les ressources informatiques des entreprises qui ont annoncé leur retrait de la Fédération de Russie. Pour l'instant, le ministère du numérique a indiqué « qu'il analyse la situation ».

Les exploitants de centres de données soulignent qu'ils ont eux-mêmes besoin d'aide : les prix des systèmes de stockage et des serveurs ont explosé, les banques n'accordent pas de prêts et la chaîne logistique est perturbée. Si le gouvernement décide de pressurer le secteur privé, les experts estiment que les services de divertissement seront les premiers à en souffrir.

En début de semaine, la passerelle open source Scarf a commencé à limiter l'accès aux paquets open source pour les entités gouvernementales et militaires russes, via sa passerelle. Dans l'annonce de la société, le PDG et fondateur de Scarf, Avi Press, a écrit que « Scarf bloquera tous les téléchargements de paquets et de conteneurs provenant de sources gouvernementales russes jusqu'à nouvel ordre. »

L'entreprise n'est pas la seule à prendre une telle mesure cette semaine, Oracle ayant suspendu toutes ses opérations dans la Fédération de Russie, Hashicorp ayant interdit l'accès à ses produits et Apple ayant arrêté toutes ses ventes en Russie. Il y en a eu beaucoup d'autres, mais les actions de Scarf, MongoDB ou encore RPM se distinguent dans la mesure où la restriction s'applique ici aux logiciels libres, et non aux logiciels propriétaires.

En ce qui concerne les logiciels libres, la définition de l'Open Source Initiative est très claire : il ne doit y avoir « aucune discrimination à l'encontre de personnes ou de groupes et aucune discrimination à l'encontre de domaines d'activité ». Chacun de ces critères s'applique à la licence dudit logiciel open source, tandis que la distribution de ce même logiciel peut être une question totalement différente, fait valoir Avi Press.

« Je pense qu'il faut résister à la tentation d'utiliser les projets open source comme des armes contre la Russie car cela crée un dangereux précédent et peut finalement faire reculer le mouvement open source et pousser les organisations à chercher refuge dans les logiciels commerciaux avec toute leur opacité et leur obscurité » conclu Gerald Benischke.

Source : Article de Gérald Benischke

Et vous ?

Quel est votre avis sur le sujet ?

Gerald Benischke préconise de « résister à la tentation d'utiliser les projets open source comme des armes contre la Russie », qu’en pensez-vous ?

Voir aussi :

Un paquet npm compromis par l'auteur efface les fichiers sur les ordinateurs russes et biélorusses lors de l'installation, pour protester contre l'invasion de l'Ukraine par la Russie

Red Hat interrompt ses ventes et ses services en Russie et en Biélorussie dans un contexte où la Russie envisage de légaliser le piratage de logiciels dans certains cas, afin d'atténuer les sanctions

Plus que deux mois et la Russie se retrouvera sans stockage de données, le Pays est en passe d'être confrontée à une crise informatique

Les grandes entreprises technologiques se retirent de Russie, dont Google, Apple, Samsung, Netflix et Spotify, cela pourrait créer une opportunité pour les entreprises chinoises comme Xiaomi

[zabibof]

Tout ceci montre à quel point il est facile d'être "vertueux" quand on en a les moyens. On peu fanfaronner que la censure c'est mal, vive la liberté etc. Mais quand nos émotions sont bousculés ou bien sous certaines pressions, il est très facile de faire taire ces principes et regarder ailleurs, c'est propre à l'Homme.

[OrthodoxWindows]

Tout ceci montre à quel point il est facile d'être "vertueux" quand on en a les moyens. On peu fanfaronner que la censure c'est mal, vive la liberté etc. Mais quand nos émotions sont bousculés ou bien sous certaines pressions, il est très facile de faire taire ces principes et regarder ailleurs, c'est propre à l'Homme.

Dans le cas de ce développeur, ça semble surtout être une personne sous influence du matraquage médiatique sur la guerre en Ukraine. Ce genre de réaction me rappelle les réactions sous les régimes politiques faisant l'apologie de la haine, où on assiste à une inversion des valeurs. D'ailleurs, la propagande anti-russe du moment utilise les mêmes ressorts que la cancel-culture, ce qui donne raison à tous ceux qui alertaient sur le caractère haineux de ce genre de mouvement...

[marc.collin]

je trouve que ça démontre juste le risque d'opter pour du cloud et du privé

me semble de voir le tollé que ça ferait en France si une société déciderait de couper une technologie à une entreprise Israélienne, car Israël massacre les palestiniens depuis 70 ans et que c'est un état raciste...
https://www.journaldemontreal.com/20...la-citoyennete

[denisys]

Vue la merde vérolé que npm est , sans la moindre invasion de que qui ce soit , chez qui que ce soit.
Heureusement, que la guerre en Ukraine, passé par là, pour justifier, le bien fondé de cette glorieuse merde !!!

[Anselme45]

Tout est affaire de mesure...

Par le passé le développeur de Notepad++ a utilisé son logiciel pour prendre des positions politiques, c'était discutable mais encore acceptable

Piéger un logiciel en opensource ou non est tout simplement inacceptable et criminel !

Les arguments "il est propriétaire de son code, il en fait ce qu'il veut" et "c'est de l'open source... C'est de la responsabilité de l'utilisateur de vérifier le code" relèvent de la plus profonde hypocrisie.

Aucun utilisateur, je dis bien aucun, ne vérifie le code d'un logiciel open source pour la simple raison que c'est possible mais irréalisable: une journée a 24 heures et rares sont ceux qui auraient la capacité technique de le faire. Si je devais vérifier le code d'un Libre Office à chaque apparition d'une version, autant développer mon propre Office, cela prendra moins de temps!

L'abruti qui a saboté son logiciel en open source a simplement fait une publicité extrêmement négative de l'open source en général

Le succès de l'open source reposait sur la confiance. Avec cette affaire, la confiance n'a plus cours...

[OrthodoxWindows]

Tout est affaire de mesure...

Par le passé le développeur de Notepad++ a utilisé son logiciel pour prendre des positions politiques, c'était discutable mais encore acceptable

Piéger un logiciel en opensource ou non est tout simplement inacceptable et criminel !

Les arguments "il est propriétaire de son code, il en fait ce qu'il veut" et "c'est de l'open source... C'est de la responsabilité de l'utilisateur de vérifier le code" relèvent de la plus profonde hypocrisie.

Aucun utilisateur, je dis bien aucun, ne vérifie le code d'un logiciel open source pour la simple raison que c'est possible mais irréalisable: une journée a 24 heures et rares sont ceux qui auraient la capacité technique de le faire. Si je devais vérifier le code d'un Libre Office à chaque apparition d'une version, autant développer mon propre Office, cela prendra moins de temps!

L'abruti qui a saboté son logiciel en open source a simplement fait une publicité extrêmement négative de l'open source en général

Le succès de l'open source reposait sur la confiance. Avec cette affaire, la confiance n'a plus cours...

+1000 C'est même plus simple que ça : Piéger un logiciel, c'est fabriquer un logiciel malveillant. Un logiciel open-source malveillant n'est pas moins malveillant qu'un logiciel malveillant "propriétaire" .

Et l'argument "il est propriétaire du code" s'applique aussi dans le cas d'un crack piégé, ou d'une fausse mise à jour, ou même d'un ransomware...

[Paradoxalix]

Une simple réflexion : l'internet n'a pas été conçu comme une arme ... il y aura toujours des ... pour tuer à coups de marteau , c'est triste

Indépendamment de toute condition "Morale", la justification de nos actes en fin de compte s'avère toujours à géométrie variable selon les croyances locales qui sont les nôtres.

Mais : la fin ne justifie jamais les moyens : croire que des actes violents peuvent être une solution mène à la barbarie en ligne droite.

La destruction d'un outil commun au service de l'échange des idées et de la science entre communautés s'avère une catastrophe qui pourrait être bien plus importante que les conséquences d'une guerre locale .

L'outil informatique qui actuellement contrôle l'enseignement , la police , les armées , la médecine, l'astronautique ... en fait la sécurité de tous : est menacé gravement par le sabotage des données.

Que ferons-nous si l'internet nous détruit les fruits de notre travail ?
Combien y aura-t-il de morts causées par l'absence d'une information cruciale au moment critique ?

Empoisonner un puits dans le désert est une peccadille en comparaison.

Je n'ignore pas que dans le feu de la colère on puisse faire n'importe quoi , nous sommes tous des humains ; nous ne sommes que des humains après tout.

Mais nous devons nous souvenir qu'avec un clavier nous avons de fait dans les mains une arme de destruction massive potentielle.
Toutefois , nous n'aurons aucune excuse si nous nous en servons.

Un grand pouvoir exige une grande responsabilité.

L'internet a permis l'envol de la pensée , il ne doit pas devenir son tombeau ...

Paradoxalix

[phedra60]

Quel est votre avis sur le sujet ?
Insérer du code malveillant dans un programme est un acte de piratage, que ce soit le sien ou celui d'un autre.

Que pensez-vous des agissements du mainteneur du paquet npm node-ipc ? Est-ce bien ?
Evidemment que c'est mal ! Comment pourrait-on qualifier de bien le fait de détruire les fichiers d'utilisateurs quelconques ?

Même s'il s'agit de son œuvre, a-t-il le droit de saboter un paquet dont dépendent des milliers de projets ?
Je ne suis pas avocat. Pour moi c'est du piratage. Maintenant, à voir si l'on part du principe que les gens vont chercher volontairement le code, ou que les c'est involontaire, les mies à jour étant automatisées. Bref, encore une fois, j'suis pas avocat !

Selon vous, quels impacts ces sabotages pourraient avoir sur la communauté open source et les logiciels libres ?
Mauvais. Seuls les sociétés qui auront le temps de faire une vrai review du code, et les compétences pour détecter les failles de sécurité vont finir par pouvoir se permettre de l'utiliser. Et comme le souligne certains, cela pourrait se révéler être un boulot trop conséquent !
On ne pourra bientôt plus qualifier le monde Open Source de fiable, avec des crétins pareils.

[Patrick Ruiz]

Montée en puissance des modules de protestation open source : un autre développeur npm dénonce la Russie
Et ravive le débat sur la sécurité de la chaîne d’approvisionnement des logiciels open source

Les développeurs expriment de plus en plus leurs opinions par le biais de leurs projets open source utilisés de façon active par des milliers d'applications logicielles et d'organisations. Pour ce faire, un mainteneur ajoute des messages de protestation ou des fonctionnalités nuisibles non souhaitées dans les dernières versions de son projet sans le documenter au préalable. Lorsqu'une application existante récupère la dernière version du projet, le code nouvellement ajouté est intégré et fonctionne de façon erratique. Le tableau soulève des questionnements : que penser de la sécurité de la chaîne d’approvisionnement des logiciels libres et open source ? Doit-on mélanger développement de logiciels et prises de positions politiques ?

Ces questionnements prennent un coup de neuf avec la récente sortie (via son projet open source) du développeur du paquetage npm 'event-source-polyfill'. Un changement introduit dans la version 1.0.26 dudit paquetage implique que les applications conçues avec ce dernier vont afficher un message de protestation aux utilisateurs basés en Russie après 15 secondes de lancement. Les paquetages Polyfill sont conçus pour mettre en œuvre des fonctionnalités JavaScript existantes sur des navigateurs Web qui ne les prennent peut-être pas en charge. Ainsi, le paquetage en question étend les API "EventSource" de Mozilla à d'autres navigateurs qui ne supportent pas ce concept. Résultat : ledit paquetage est utilisé par plus de 135 000 dépôts GitHub et téléchargé plus de 600 000 fois par semaine sur npm.

Ce cas vient allonger une liste de modules de protestation open source qui ne cesse d’aller croissant depuis le début de l’opération militaire russe en Ukraine. En effet, le développeur à l'origine du populaire paquet npm "node-ipc" a lui aussi sorti une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements au paquet npm "node-ipc" introduisent un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur.

L’avis de l’Open Source Initiative sur la situation est que :

« Le nouveau développement est que des mainteneurs en colère ont commencé à ajouter du code à un petit nombre de dépôts de logiciels libres pour protester contre la guerre. Une fois déployé, ce logiciel open source de protestation exprime l'opposition du mainteneur à l'invasion de l'Ukraine par le gouvernement russe. La plupart des logiciels de protestation affichent simplement des messages anti-guerre ou pro-ukrainiens lorsqu'ils sont exécutés. Il s'agit d'une forme de protestation non violente et créative qui peut être efficace.

Mais, dans au moins un cas - le module peacenotwar du paquet node-ipc - une mise à jour sabote les développeurs de npm avec un code destiné à effacer les données stockées en Russie et au Belarus. Dans un billet de blog du 16 mars sur le code malveillant, Liran Tal, de Snyk, a déclaré : " Cet incident de sécurité implique des actes destructeurs de corruption de fichiers sur le disque par un mainteneur et ses tentatives de cacher et de reformuler ce sabotage délibéré sous différentes formes. "

La "militarisation de l'open source", comme l'appelle Gerald Benischke dans son billet de blog du 16 mars, se fait sans discernement et les dommages collatéraux qu'elle provoque portent atteinte au travail des développeurs et des opérateurs uniquement parce qu'ils ont une adresse IP attribuée par la Russie. Elle nuit aux pacifistes autant qu'aux bellicistes - même les hackers éthiques utilisant un VPN pour travailler contre l'invasion peuvent subir des dommages.

Il est compréhensible que cette situation ait suscité l'indignation. Nous partageons cette indignation. La protestation est un élément important de la liberté d'expression qui doit être protégé. L'ouverture et l'inclusion sont les pierres angulaires de la culture de l'open source et les outils des communautés open source sont conçus pour un accès et une participation à l'échelle mondiale. Collectivement, la culture et les outils mêmes de l'open source - suivi des questions, systèmes de messagerie, dépôts - offrent un canal de signalisation unique qui peut contourner la censure imposée par les tyrans pour conserver leur pouvoir.

Au lieu de logiciels malveillants, une meilleure approche de la liberté d'expression serait d'utiliser les messages dans les journaux de commit pour envoyer des messages anti-propagande et de publier des trackers pour partager des informations précises à l'intérieur de la Russie sur ce qui se passe réellement en Ukraine aux mains de l'armée russe, pour citer deux possibilités évidentes. Il y a tellement de possibilités pour les communautés open source d'être créatives sans nuire à tous ceux qui chargent la mise à jour.

Nous encourageons les membres de la communauté à utiliser les libertés et les outils de l'open source de manière innovante et judicieuse pour informer les citoyens russes de la réalité des préjudices imposés aux citoyens ukrainiens et pour soutenir les efforts humanitaires et d'assistance en Ukraine et en faveur de ce pays.

À plus long terme, il est probable que cette militarisation de l’open source revienne à cracher dans le vent : les inconvénients du vandalisme des projets open source dépassent de loin les avantages possibles et le retour de flamme finira par nuire aux projets et aux contributeurs responsables. Par extension, c'est tout l'open source qui en pâtit. Utilisez votre pouvoir, oui, mais utilisez-le à bon escient »

Seulement, l’expérience enseigne que même les contenus textuels sont de nature à mettre à mal le mouvement open source. Cela s’est vu avec le cas Notepad++ 7.8.1 qui a opposé des internautes chinois et des intervenants occidentaux sur la question de la gestion de la communauté Ouïghour par la Chine. Résultat : des élans de nationalisme font surface autour de l’open source. La Chine a officialisé une alternative à GitHub – le service web américain d’hébergement et de gestion de logiciels – au cours de l’année 2020. Gitee compte 9 ans d’existence en Chine. Une sortie d’un responsable de Huawei en lien avec ce développement en dit long sur l’objectif : « Si la Chine ne dispose pas de sa propre communauté open source pour maintenir et gérer les projets, notre industrie nationale du logiciel sera très vulnérable à des facteurs incontrôlables. » L’intervention de Wang Chenglu pointait du doigt les sanctions à répétition des autorités américaines.

Source : Yaffle

Et vous ?

Est-ce une bonne idée de mêler développement de logiciels et prises de positions politiques ?
L’open source doit-il souffrir des politiques des pays ? Est-il possible qu’il en soit autrement ?
Doit-on encourager la multiplication d’initiatives comme Gitee ?

Voir aussi :

Un dev open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets, il avait précédemment demandé à être rémunéré pour son travail

La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

Environ 26 % de toutes les menaces JavaScript malveillantes sont obfusquées, selon une étude d'Akamai

Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels, la popularité des paquets en fait de parfaits vecteurs d'attaques

[kain_tn]

Ces andouilles sont juste en train de tuer npm. À ce train là, plus personne ne va avoir confiance en ces dépôts.

[coolspot]

Encore des guignols qui veulent exprimer leur idéologie dans un endroit non prévu pour. Ils vont juste ridiculiser npm et le logiciel libre en regle générale alors que tu les a jamais entendu faire leur cirque pour les 500k enfant mort bombardé par les USA en Irak ou bien le conflit au Yemen depuis x années

Ces débile profond ne savaient meme pas ou se situer l'Ukraine sur une map ya 1 mois et demi mais ils ont trouvé une nouvelle cause à leur vie vide de sens et s’engouffre dedans


Enfin bon entre ce genre d'idiotie et les recente affaire de paquet vérolé de NPM, c'est composer qui va prendre son envol a ce rythme.