Sommet des membres de la Fondation Linux – (Napa, Californie) – Le code open source est devenu un vecteur de logiciels malveillants. Par exemple, un développeur de logiciels libres a découvert que Jia Tan, programmeur en chef et responsable de la bibliothèque de compression de données Linux xz, était également un pirate informatique. Il avait introduit une porte dérobée dans le code pour permettre à des attaquants de prendre le contrôle des systèmes Linux.
L’un des principaux problèmes c’est que personne ne savait qui était Jia Tan. Et nous ne le savons toujours pas.
Jim Zemlin, directeur exécutif de la Fondation Linux, a abordé ce problème fondamental de l’identité des développeurs lors du Sommet des membres de la Fondation Linux qui s’est tenu cette semaine à Napa, en Californie. M. Zemlin a commencé son intervention en déclarant : « L’open source est désormais un élément fondamental de l’informatique moderne, et les pirates informatiques y prêtent attention. En outre, nous avons vu apparaître toute une série de nouvelles réglementations autour de l’open source, telles que la loi sur la cyber-résilience (CRA) de l’Union européenne. L’époque où les logiciels open source faisaient l’objet d’un examen minimal est probablement en train de s’achever ».
Développer un système de confiance décentralisé
Pour compliquer encore les choses, nous vivons à une époque de « tensions géopolitiques et de montée du techno-nationalisme ». La Fondation Linux veut cependant préserver la capacité de n’importe qui de participer à l’open source depuis n’importe quel endroit de la planète ».
Cet objectif est plus facile à dire qu’à faire. M. Zemlin a souligné que si la sécurité est cruciale, la confiance l’est tout autant. La confiance implique non seulement de s’assurer que les logiciels sont sécurisés, mais aussi de vérifier l’identité et les intentions des contributeurs.
Pour relever ces défis, M. Zemlin propose de développer un système de confiance décentralisé, comprenant une « carte de score de confiance » (trust scorecard) similaire à celles de l’Open Source Software Foundation (OpenSSF). Ce système aiderait les utilisateurs à évaluer la fiabilité des projets open-source sur la base de facteurs tels que la vérification des contributeurs et l’historique du projet.
La Fondation Linux explore le projet First Person
Dans un tel système, les développeurs devraient gagner des niveaux de confiance avant de pouvoir s’occuper d’un projet important. Les facteurs qui pourraient être pris en compte dans cette évaluation sont :
- La preuve d’identité
- L’historique des contributions au projet
- La qualité du code
- L’historique de la sécurité
- La réputation de la communauté
Ainsi, par exemple, en utilisant un tel système de confiance, en comparant Jia Tan à Greg Kroah-Hartman, le célèbre mainteneur du noyau stable de Linux, nous verrions que Jia Tan atteindrait à peine le niveau 1. Kroah-Hartman obtiendrait un score parfait.
Pour construire un tel système, la Fondation Linux explore le projet First Person, qui vise à établir un système d’accréditation décentralisé utilisant la technologie blockchain. Ce système permettrait aux contributeurs de vérifier leur identité tout en préservant leur anonymat.
Une tentative pas si opérante que ça avec PGP
Les responsables du projet établiraient des politiques de confiance. Par exemple, ils pourraient s’assurer que leurs contributeurs répondent à des critères spécifiques, tels qu’un emploi vérifié ou la participation à des événements industriels.
Un groupe, les responsables du noyau Linux, utilise déjà ce système. Après une faille de sécurité dans le dépôt de code Linux en 2011, l’équipe Linux utilise un système de signature Pretty Good Privacy (PGP) pour s’assurer que tout nouveau code provient d’un programmeur connu.
Cependant, ce système ne fonctionne pas si bien que cela m’a dit Kroah-Hartman. « Nous détestons ce système, mais nous faisons avec ». Kroah-Hartman et Linus Torvalds, le créateur de Linux, envisagent donc d’utiliser un autre système. Cependant, tout système de ce type doit avoir une « faible friction » afin qu’il soit facile d’intégrer de nouvelles personnes.
Pour y parvenir, M. Zemlin a appelé à la collaboration des grandes entreprises et des communautés de logiciels libres pour développer et mettre en œuvre ces mécanismes de confiance. Cet effort implique de travailler avec des organisations telles que la Trust over IP Foundation et la OpenWallet Foundation pour créer des approches évolutives et respectueuses de la vie privée.