Ce qui suit est un blog d’opinion de membres du consortium NGI Commons (Nicholas Gates, d’OpenForum Europe, et Jan Krewer, d’Open Future) concernant l’exposition récente de la porte dérobée des outils XZ. Si vous souhaitez donner votre avis, veuillez prenez contact avec vous avec nous par l’intermédiaire du site web.
L’exposition récente du Porte dérobée des outils XZ a rattrapé les communautés du code source ouvert et de la cybersécurité. Alors qu’elle a (une fois de plus) démontré l’importance avantages des logiciels libres en termes de sécurité par rapport aux logiciels propriétaires — compte tenu du fait que le défaut a été découvert relativement rapidement et que la communauté a été en mesure de réagir aussi rapidement en partageant des informations et en prenant des mesures — elle a également mis en évidence les limites d’un système qui doit largement s’appuyer sur les efforts des volontaires.
Un nombre croissant d’experts argumenter qu’il convient de remédier à ces limitations au moyen d’un soutien public accru, notamment: financement public. Dans le même temps, il est essentiel de préserver et de renforcer les fondamentaux sur lesquels reposent la plupart des projets open source: collaboration, liberté d’utilisation, normalisation de l’utilisation, etc. Nous estimons donc qu’une gouvernance plus intentionnelle des principaux logiciels libres est utilisée en tant que biens communs numériques dans les infrastructures de sécurité, les problèmes que nous avons rencontrés dans l’affaire XZ utils pourraient contribuer à codifier les normes communautaires et à surmonter le problème de l’épuisement professionnel.
Qu’est-il advenu de la porte dérobée des outils XZ?
XZ utils est un service de compression de données, largement utilisé dans de nombreuses distributions GNU/Linux. Il s’agissait trouvé pour qu’une porte dérobée y soit placée par un mainteneur, ce que l’on appelle Jia Tan, qui confiance acquise dans la communauté, maintenir XZ utils pendant des années tout en agissant (prétendument) pour le compte d’un organisme soutenu par l’État. Le sous-terfuge de Jia Tan — qui a été prochainement fixé à de nombreuses distributions de Linux — était découvert ce n’est qu’en menant une enquête minutieuse sur un développeur isolé PostgresSQL et membre de la communauté de la sécurité d’Openwall, Andres Freund.
En tant que commentaire d’Alex Stamos il a été noté que si XZ utils avait été intégré dans les distributions Linux mondiales, il aurait pu s’agir: «[...] la porte dérobée la plus répandue et la plus efficace jamais installée dans n’importe quel produit logiciel» et aurait pu «donner à ses créateurs une clé maîtresse pour [...] des centaines de millions d’ordinateurs dans le monde entier». Cette éventuelle «surveillance» du code aurait eu de vastes conséquences sur la cybersécurité, la souveraineté numérique et la sécurité nationale à l’échelle mondiale.
Bien que les fondamentaux de la gouvernance du guichet unique restent largement incontestés par cette affaire et se soient révélés dignes de conservation, des rapports sur interactions à l’origine de l’introduction de la vulnérabilité dans l’utilité XZ, indiquer les limites du modèle mainteneur. De nombreux maintenants manquent de ressources et de temps pour soutenir leurs projets autant qu’ils en ont besoin, ce qui entraîne souvent du stress et des burnouts. Pour beaucoup, ces informations rappelleront les célèbres mémoire sur les infrastructures numériques modernes, qui constate que les grandes infrastructures sont souvent tributaires du travail à petite échelle d’une poignée de bénévoles, ce qui nécessite davantage de financements améliorer les pratiques de sécurité à grande échelle.
Pourquoi est-ce important?
Lorsque l’on réfléchit à la manière dont les communautés de guichet unique sont organisées, il est important de garder à l’esprit que l’écosystème du guichet unique est devenu de plus en plus vaste et complexe. Environ 96% du code commercial contient un code source ouvert et 76% du code en général est open source, selon le Rapport OSSRA 2023. L’existence de fondations privées et d’un grand nombre de grandes entreprises technologiques contribuant à la fourniture du guichet unique au moyen de financements ou de contributions directes a continué d’augmenter ces dernières années.
Cela étant dit, il peut être difficile de cartographier tout ce qui est utilisé en premier lieu dans le cadre des infrastructures de sécurité. Il y a même solutions innovantes pour suivre la dépendance à l’égard de certains logiciels libres afin de contribuer à la maintenance de composants clés dans une chaîne de valeur (par exemple: Purgeurs, FossFunders (Fonds de financement), Promoteurs de GitHub, etc), mais il s’agit souvent de solutions imparfaites au mieux.
En outre, ces efforts semblent insuffisants pour résoudre le problème fondamental de la pénurie d’entretien (par exemple, ressources et attention) sur le terrain. L’ampleur actuelle du développement de logiciels libres nécessite: en savoir plus engagement public et financement public, pas une confiance incontestée dans les meilleurs membres de la communauté open source pour garantir sa sécurité. Des prescriptions spécifiques doivent être prévues pour renforcer la gouvernance du guichet unique et contribuer à surmonter les difficultés liées à la poursuite de l’engagement et à l’épuisement professionnel.
Ces observations ont donné lieu à plusieurs demande un renforcement de la responsabilité collective et des investissements publics dans la région, à l’instar de ce que Fonds souverain pour les technologies c’est le cas en Allemagne. Il y a également eu appels récents au Royaume-Uni, par exemple. L’objectif de ces efforts serait de recenser et de soutenir les composants logiciels essentiels du point de vue de l’intérêt public général, tels que la cybersécurité, la souveraineté, la dépendance industrielle, les services publics ou la résilience globale de la pile internet.
Une approche numérique commune pour renforcer la sécurité du guichet unique
La sécurité des logiciels libres est en partie rendue possible par ce qui a été inventé comme suit: Le droit de Linus — l’idée selon laquelle «compte tenu du nombre suffisant de boules de sourcils, tous les bogues sont peu profonds». Cette loi — au moins en tant qu’adage, si il ne s’agit pas uniquement de sciences sociales — cela reste vrai, étant donné que c’est l’ouverture des outils XZ qui a permis à Freund de découvrir et d’exposer la porte dérobée.
Toutefois, nous notons également que cet exemple montre que la sécurité du guichet unique dépend également en grande partie de la santé des communautés qui sont de plus en plus brûlées et susceptibles d’être exploitées à des fins malveillantes. Ces capacités nécessitent plus que de simples «balles de sourcils» ou des compétences supplémentaires en matière de développement de logiciels.
Selon Tobie Langel, il s’agit de problème principal aujourd’hui: nous ne reconnaissons pas le rôle distinct des responsables de la maintenance open source. On suppose que le développement de logiciels open source consiste uniquement à développer de nouveaux codes et à ajouter de nouvelles fonctionnalités. Les discussions sur la sécurité des logiciels libres nécessitent des solutions de base pour remédier aux vulnérabilités potentielles dans le développement décentralisé des logiciels, y compris menace de l’ingénierie sociale.
Les débats d’orientation sur la cybersécurité du guichet unique devraient également tenir compte des différences critiques dans l’organisation et la gouvernance qui sous-tendent un projet de guichet unique. La gouvernance des trains de mesures relevant du guichet unique diffère considérablement, allant de fondations gigantesques comptant de vastes communautés telles que la Fondation Apache à des projets informels de moindre envergure collaborant sur des outils spécifiques sur Github.
Afin de mieux comprendre la diversité des réalités sociales entre les projets open source, un le concept de biens communs numériques fait l’objet d’une attention croissante. Les biens communs numériques sont les suivants: défini en commun en tant que «ressources non rivales et non exclusives définies par la production distribuée et commune, la propriété et la gouvernance des capacités et technologies d’information. Ce concept est utilisé non seulement pour décrire les ressources avec des licences d’accès non exclusives, mais aussi les ressources qui sont effectivement gérées par une communauté qui s’organise elle-même pour définir sa gouvernance ainsi que les droits d’accès et d’utilisation.
Nous soutenons que le fait de penser plus intentionnellement à des trains de mesures spécifiques en matière de guichet unique et à leurs communautés en tant que biens communs numériques et de codifier des règles et des normes plus strictes pour leur gouvernance pourrait contribuer à surmonter l’exploitation potentielle du modèle de mainteneur, en créant davantage de possibilités d’équilibre des pouvoirs. Les projets relevant du guichet unique qui sont auto-organisés mais disposent de règles et de modèles de gouvernance bien établis peuvent réduire les dépendances uniques grâce à la production distribuée.
C’est bien sûr difficile, lorsque nous ne savons pas exactement qui utilise quoi, ou lorsque certains colis n’ont rien qui ressemble à une communauté, une seule personne. Toutefois, nous soutenons qu’il est essentiel d’ajouter une définition ou une structure plus large aux modèles de gouvernance du guichet unique pour continuer à soutenir les communautés qui font le travail acharné de maintenance. À elles seules, les ressources logicielles sont différentes de celles qui sont soutenues par des communautés dynamiques, et elles nécessitent que les personnes se réunissent d’une manière plus définie pour codifier les règles et renforcer la responsabilité partagée en ce qui concerne leur durabilité à long terme.
Continuer à promouvoir des mécanismes de gouvernance solides grâce à davantage de ressources et attention devrait conduire à des obligations partagées en matière d’entretien face à la menace de l’ingénierie sociale. Cela étant, elle nécessite un soutien public, ainsi que la maturité (et les besoins) des communautés de maintenants. doit être pris en compte par les industries et les gouvernements qui dépendent du guichet unique.
Mais comment aller dans le sens de cette réalité?
Le rôle du secteur public
La majorité des politiques relatives à la technologie en général associent le développement de logiciels principalement à l’innovation, plutôt qu’à la maintenance. Ce n’est que récemment que les conversations ont commencé à se concentrer davantage sur la manière de prendre en charge les infrastructures existantes et leur sécurité. Les responsables de l’entretien des guichets uniques «burnout» nous montrent que cela doit changer encore plus rapidement, et ce qui s’est passé avec XZ utils est un nouveau rappel.
Les fondations existantes pourraient bientôt commencer à s’orienter davantage vers la séparation des activités liées à la maintenance, au conseil juridique, à la création de communautés ou à la communication du développement de logiciels. Des solutions innovantes pour identifier les dépendances et tentatives actuelles pour mieux définir les composantes du guichet unique qui devraient être considérées comme des infrastructures, il est très encourageant d’aider les chercheurs à déterminer ce qui nécessite un soutien en premier lieu.
Une fois identifiés, nous ne devons pas oublier le rôle du financement public dans le soutien aux biens communs numériques open source. Par exemple, le expérience le financement du scikit-learn par le gouvernement français souligne l’importance de financer la maintenance du guichet unique existant, tel que le scikit-learn, qui est utilisé quotidiennement par des millions de chercheurs et d’ingénieurs, plutôt que de financer simplement le développement de nouvelles fonctionnalités ou de nouveaux outils.
Lorsqu’elles sont combinées à des initiatives de changement comment? les biens communs numériques bénéficient d’un soutien public, que ce soit au moyen d’un financement à long terme ou de mesures de renforcement des capacités, et nous voyons la possibilité de créer davantage de participation dans les communautés open source pour les progiciels clés pour la cybersécurité, en particulier ceux utilisés dans les distributions Linux (sur lesquelles de nombreuses infrastructures de cybersécurité fonctionnent).
Le projet NGI Commons participera activement à ces efforts en essayant d’imaginer un paysage européen de financement public et privé plus cohérent pour les ressources qui sont essentielles pour la souveraineté numérique de l’Europe à l’avenir. Le projet dialoguera avec les communautés de biens communs numériques afin de mieux cerner leurs besoins et les lacunes actuelles dans les initiatives stratégiques visant à soutenir leur développement. En outre, compte tenu de l’utilisation généralisée et de l’omniprésence des biens communs numériques dans nos sociétés, nous estimons que ces questions doivent être pleinement intégrées dans les travaux de la Commission européenne, en particulier dans le contexte des négociations relatives au prochain cadre financier pluriannuel (CFP) de l’UE.
French 
English