Les logiciels libres, ou open source selon l’appellation qu’on préférera, s’appuient sur l’ouverture et la coopération. Mais «l’augmentation des risques liés à la cybersécurité et à la conformité réglementaire crée des contraintes pour les communautés open source qui doivent être respectées», expose la fondation Linux, qui a publié un article expliquant aux développeurs d’open source les règles complexes de l’Office of Foreign Assets Control (OFAC), un organisme de contrôle financier, rattaché au département américain du Trésor.
Respecter les sanctions « n’est pas facultatif »
La fondation «est engagée en faveur de l’open source et de la collaboration mondiale, et ce de manière responsable, tout en respectant les lois et réglementations en vigueur dans les pays où la fondation et les membres de notre communauté opèrent. Il est essentiel de comprendre les cadres juridiques dans lesquels nous collaborons tous pour maintenir une collaboration mondiale.»
Et elle conclut sa note par cette mention : «La communauté open source est fondée sur la collaboration, mais le respect des programmes de sanctions n’est pas facultatif pour les développeurs qui pourraient violer la loi sans le savoir.»
«Les sanctions de l’OFAC sont des réglementations gouvernementales américaines qui restreignent ou interdisent les transactions avec certains pays, entités et individus (« cibles de sanctions »). Ces règles sont normalement mises en place pour atteindre des objectifs d’urgence économique, de politique étrangère et de sécurité nationale. Elles s’appliquent non seulement aux transactions financières, mais souvent à presque toutes les interactions avec une cible de sanctions, y compris celles dans les espaces communautaires open source.
« Attention aux personnes avec lesquelles vous interagissez »
Pour les développeurs, cela signifie que vous devez faire attention aux personnes avec lesquelles vous interagissez et à la provenance de vos contributions. Les sanctions de l’OFAC peuvent cibler des pays, des régions et des individus ou organisations spécifiques, dont de nombreux individus et organisations sont répertoriés dans la liste des ressortissants spécialement désignés et des personnes bloquées (« SDN »).»
Le non-respect de ces règles peut entraîner de lourdes amendes civiles et des sanctions pénales, souligne la fondation. «En général, si vous êtes un citoyen américain ou une organisation basée aux États-Unis, ou si vous traitez avec des biens, des services ou des dollars américains d’origine américaine pour des transactions interdites, vous êtes probablement tenu de respecter ces règles, où que vous soyez dans le monde.»
Notamment, «la collaboration bilatérale sur une proposition de modification de logiciel pourrait être interprétée comme une fourniture de services interdite. Il serait problématique pour les développeurs de fournir des services à un développeur employé (directement ou indirectement) par un SDN ou une entité détenue directement ou indirectement à 50 % ou plus par un SDN.»
Des développeurs russes exclus du travail sur le noyau Linux
Ces règles «s’appliquent à diverses interactions, y compris celles au sein de la communauté open source. La liste totale des programmes de sanctions et des pays compte plus de 17.000 entrées, allant des individus aux organisations terroristes en passant par les pays.»
La fondation Linux rappelle qu’en octobre 2024, «les dirigeants du noyau Linux, dont Greg Kroah-Hartman, le mainteneur du noyau Linux stable, et Linus Torvalds, le fondateur de Linux, ont annoncé que onze développeurs russes du noyau avaient été démis de leurs fonctions de travail sur le noyau Linux». Linus Torvalds avait précisé, devant les multiples réactions, que cette exclusion était due aux sanctions contre la Russie, ce qui «n’est pas un truc [seulement] américain».
Ces règles nécessitent pas mal de prudence. Le topo de la fondation Linux explique:
«En règle générale, examiner un correctif non sollicité d’un contributeur d’une région sanctionnée ne pose aucun problème, mais l’impliquer activement pour mieux comprendre son problème, diagnostiquer le problème ou aider à améliorer un correctif ou à modifier le code dépasserait probablement les limites. Si le contributeur est lié à une entité ou une région sanctionnée, en général, il est préférable de maintenir les communications strictement à sens unique. Si un correctif est reçu et que vous l’améliorez et le soumettez en amont, cela devrait être acceptable, mais les échanges de communication avec le développeur SDN ne le seront probablement pas.»
Les pays les plus largement bannis par l’OFAC sont Cuba, la Corée du Nord, la Syrie, l’Iran, la Russie, et les régions d’Ukraine occupées par la Russie. D’autres pays (Afghanistan, Libye, Venezuela, Irak, Biélorussie etc.) sont partiellement concernés – pour les transactions liées aux activités avec «des parties spécifiques dans ces pays»).
Sur le site tech The New Stack, Steven J. Vaughan-Nichols, qui signale et explique la note de la fondation Linux, a interrogé une juriste spécialiste des licences open source, Heather Meeker. Elle commente: «Le monde devient de plus en plus protectionniste, et l’open source est tout le contraire: le libre-échange par excellence. Il suffit de regarder ce qui s’est passé cette semaine avec DeepSeek, le nouveau programme d’intelligence artificielle open source à la mode, pour se rendre compte à quel point le protectionnisme fonctionne bien.»
Illustration: barbelés sur une grille / Sheila Sund / Wikimedia Commons / CC by-sa
Lire aussi
ZD Tech : les sanctions américaines touchent les entreprises de la tech chinoises pour la troisième fois – 3 décembre 2024
Le BSI allemand déconseille l’usage des antivirus de Kaspersky – 16 mars 2022
Amazon, Microsoft, SUSE et Red Hat quittent la Russie, Akamai et Cloudflare restent – 10 mars 2022