Ne clbrons pas CrowdStrike – proposons une meilleure solution
Si vous avez lu les nouvelles, tes all au travail ou avez pris l’avion ces derniers jours, vous avez sans doute rencontr des articles sur l’incident CrowdStrike, au cours duquel des mises jour automatiques d’un pilote de noyau Windows, proposes par une socit de scurit tierce, ont fait planter d’innombrables machines dans le monde entier. Pour la premire fois depuis des annes, la presse grand public utilise des mots comme noyau et d’autres mots qu’elle vite habituellement et qui pourraient donner l’impression qu’il se passe quelque chose derrire les couleurs flashy de Windows 10. En tant qu’activistes du logiciel libre, nous devrions profiter de l’occasion pour examiner la situation et voir comment les choses auraient pu se passer diffremment.
Soyons clairs : en principe, il n’y a rien de rprhensible d’un point de vue thique dans les mises jour automatiques, tant que l’utilisateur a choisi de les recevoir en connaissance de cause. Par exemple, il est parfaitement comprhensible qu’une bibliothque publique ne veuille pas se plonger dans le journal des modifications du noyau ; elle veut simplement recevoir la mise jour et poursuivre son travail. Dans le mme temps, les bogues logiciels existent. Les dveloppeurs de logiciels libres le savent mieux que quiconque. Le noyau Linux(-libre) ne bnficie pas d’une immunit mystique. Ce que notre communaut possde, c’est une structure sociale qui, trs probablement, aurait rectifi la situation rapidement.
Ce que le logiciel libre offre, c’est une diversit de choix. Bien que nous puissions comprendre comment la situation s’est dveloppe, on peut se demander s’il est judicieux pour tant de services critiques dans le monde de miser sur une seule distribution d’un seul systme d’exploitation fabriqu par un seul stupfiant prdateur monopole Redmond, dans l’tat de Washington. Au lieu de cela, nous pouvons imaginer une structure plus horizontale, o cette compagnie arienne et cette bibliothque publique utilisent diffrentes versions de GNU/Linux, chacune avec ses propres quipes de scurit et sur des versions diffrentes du noyau Linux(-libre). Par exemple, une bibliothque au Vietnam ne dpendrait pas ncessairement d’un diteur de logiciels amricain pour son travail quotidien.
l’heure o nous crivons ces lignes, nous n’avons pas t en mesure de dterminer l’tendue de l’accs au code source du noyau Windows que Microsoft a accord aux ingnieurs de CrowdStrike. (Par ailleurs, la cause premire du problme semble tre une erreur dans un fichier de configuration). Mais comme il s’agit du mouvement du logiciel libre, nous pourrions garantir que tous les ingnieurs en scurit et toutes les parties prenantes auraient un accs gal au code source, ce qui prouverait le vieil adage selon lequel avec suffisamment d’yeux, tous les bogues sont superficiels . Il n’y a aucune raison valable de cacher un code au public, en particulier un code qui fait partie intgrante du fonctionnement quotidien d’un grand nombre d’institutions et d’entreprises publiques.
Dans une astucieuse opration de relations publiques, il semble que Microsoft ait commenc imputer l’incident l’accs d’entreprises tierces aux sources et la documentation du noyau. Traduit du Redmond-ese, le point qu’ils essaient de faire revient si seulement nous avions t autoriss tre plus secrets, cela ne serait pas arriv ! Toute personne ayant un minimum de comprhension du dveloppement de logiciels peut voir que cet argument ne tient pas la route, tout comme toute personne ayant un minimum de comprhension de la rhtorique peut apprcier l’ironie du fait que la mme socit qui dveloppe Copilot se plaint de la ncessit de garder le code secret pour les autres. En ce moment mme, Copilot ingre des logiciels libres sur la plateforme propritaire de Microsoft, GitHub, avec peu de respect pour la licence de chaque programme.
Nous devons galement comprendre qu’appeler une diversit de fournisseurs de logiciels non libres qui ne sont que des frontaux pour les logiciels « cloud » ne rsout pas le problme. Pour le corriger compltement, il faut passer des logiciels libres qui fonctionnent sur l’ordinateur de l’utilisateur.
La Free Software Foundation est souvent accuse d’tre utopiste, mais nous sommes bien conscients que faire passer les compagnies ariennes, les bibliothques et toutes les autres institutions touches par la panne de CrowdStrike aux logiciels libres est une entreprise colossale. Compte tenu de l’avantage thique indniable du logiciel libre, sans parler du contrle embarrassant des dommages en cours de la part de Microsoft et de CrowdStrike, nous pensons que ce changement est ncessaire. Plus une institution est publique, plus il est vital qu’elle utilise des logiciels libres.
Pour ce que cela vaut, il est galement essentiel de vrifier la syntaxe de vos fichiers de configuration. Les ingnieurs de CrowdStrike feraient bien de s’en souvenir la prochaine fois.