{"id":53226,"date":"2024-04-24T11:45:14","date_gmt":"2024-04-24T10:45:14","guid":{"rendered":"https:\/\/commons.ngi.eu\/?p=53226"},"modified":"2024-05-07T07:36:32","modified_gmt":"2024-05-07T06:36:32","slug":"responding-to-xz-utils-can-a-digital-commons-approach-reinforce-oss-security","status":"publish","type":"post","link":"https:\/\/commons.ngi.eu\/2024\/04\/24\/responding-to-xz-utils-can-a-digital-commons-approach-reinforce-oss-security\/","title":{"rendered":"

R\u00e9ponse \u00e0 XZ utils: Une approche num\u00e9rique commune peut-elle renforcer la s\u00e9curit\u00e9 du guichet unique?<\/p>"},"content":{"rendered":"

Ce qui suit est un blog d\u2019opinion de membres du consortium NGI Commons (Nicholas Gates, d\u2019OpenForum Europe, et Jan Krewer, d\u2019Open Future) concernant l\u2019exposition r\u00e9cente de la porte d\u00e9rob\u00e9e des outils XZ. Si vous souhaitez donner votre avis, veuillez <\/em>prenez contact avec vous<\/em><\/a> avec nous par l\u2019interm\u00e9diaire du site web.<\/em>

L\u2019exposition r\u00e9cente du Porte d\u00e9rob\u00e9e des outils XZ<\/a> a rattrap\u00e9 les communaut\u00e9s du code source ouvert et de la cybers\u00e9curit\u00e9. Alors qu\u2019elle a (une fois de plus) d\u00e9montr\u00e9 l\u2019importance avantages<\/a> de logiciels libres du point de vue de la s\u00e9curit\u00e9 par rapport aux logiciels propri\u00e9taires? compte tenu du fait que le d\u00e9faut a \u00e9t\u00e9 d\u00e9couvert relativement rapidement et <\/em>que la communaut\u00e9 ait \u00e9t\u00e9 en mesure de r\u00e9agir aussi rapidement en partageant des informations et en prenant des mesures? Elle a \u00e9galement mis en \u00e9vidence les limites d\u2019un syst\u00e8me qui doit largement s\u2019appuyer sur les efforts des volontaires.<\/p>

Un nombre croissant d\u2019experts argumenter<\/a> qu\u2019il convient de rem\u00e9dier \u00e0 ces limitations au moyen d\u2019un soutien public accru, notamment: financement public<\/a>. Dans le m\u00eame temps, il est essentiel de pr\u00e9server et de renforcer les fondamentaux sur lesquels reposent la plupart des projets open source: collaboration, libert\u00e9 d\u2019utilisation, normalisation de l\u2019utilisation, etc. Nous estimons donc qu\u2019une gouvernance plus intentionnelle des principaux logiciels libres est utilis\u00e9e en tant que biens communs num\u00e9riques<\/a> dans les infrastructures de s\u00e9curit\u00e9, les probl\u00e8mes que nous avons rencontr\u00e9s dans l\u2019affaire XZ utils pourraient contribuer \u00e0 codifier les normes communautaires et \u00e0 surmonter le probl\u00e8me de l\u2019\u00e9puisement professionnel.<\/p>

Qu\u2019est-il advenu de la porte d\u00e9rob\u00e9e des outils XZ?<\/h3>

XZ utils est un service de compression de donn\u00e9es, largement utilis\u00e9 dans de nombreuses distributions GNU\/Linux. Il s\u2019agissait trouv\u00e9<\/a> pour qu\u2019une porte d\u00e9rob\u00e9e y soit plac\u00e9e par un mainteneur, ce que l\u2019on appelle Jia Tan<\/em>, qui confiance acquise<\/a> dans la communaut\u00e9, maintenir XZ utils pendant des ann\u00e9es tout en agissant (pr\u00e9tendument) pour le compte d\u2019un organisme soutenu par l\u2019\u00c9tat. Jia Tan? s subterfuge? qui a \u00e9t\u00e9 prochainement fix\u00e9 \u00e0 de nombreuses distributions de Linux? d\u00e9couvert<\/a> ce n\u2019est qu\u2019en menant une enqu\u00eate minutieuse sur un d\u00e9veloppeur isol\u00e9 PostgresSQL et membre de la communaut\u00e9 de la s\u00e9curit\u00e9 d\u2019Openwall, Andres Freund.<\/p>

\"R\u00e9ponse<\/figure>

En tant que commentaire d\u2019Alex Stamos<\/a> il a \u00e9t\u00e9 not\u00e9 que si XZ utils avait \u00e9t\u00e9 int\u00e9gr\u00e9 dans les distributions Linux mondiales, il aurait pu s\u2019agir: \u00ab[...] la porte d\u00e9rob\u00e9e la plus r\u00e9pandue et la plus efficace jamais install\u00e9e dans n\u2019importe quel produit logiciel\u00bb et aurait pu \u00abdonner \u00e0 ses cr\u00e9ateurs une cl\u00e9 ma\u00eetresse pour [...] des centaines de millions d\u2019ordinateurs dans le monde entier\u00bb. Ce potentiel? surveillance? dans le code aurait eu de vastes cons\u00e9quences sur la cybers\u00e9curit\u00e9, la souverainet\u00e9 num\u00e9rique et la s\u00e9curit\u00e9 nationale \u00e0 l\u2019\u00e9chelle mondiale.<\/p>

Bien que les fondamentaux de la gouvernance du guichet unique restent largement incontest\u00e9s par cette affaire et se soient r\u00e9v\u00e9l\u00e9s dignes de conservation, des rapports sur interactions \u00e0 l\u2019origine de l\u2019introduction de la vuln\u00e9rabilit\u00e9<\/a> dans l\u2019utilit\u00e9 XZ, indiquer les limites du mod\u00e8le mainteneur. De nombreux maintenants manquent de ressources et de temps pour soutenir leurs projets autant qu\u2019ils en ont besoin, ce qui entra\u00eene souvent du stress et des burnouts. Pour beaucoup, ces informations rappelleront les c\u00e9l\u00e8bres m\u00e9moire sur les infrastructures num\u00e9riques modernes<\/a>, qui constate que les grandes infrastructures sont souvent tributaires du travail \u00e0 petite \u00e9chelle d\u2019une poign\u00e9e de b\u00e9n\u00e9voles, ce qui n\u00e9cessite davantage de financements<\/a> am\u00e9liorer les pratiques de s\u00e9curit\u00e9 \u00e0 grande \u00e9chelle.<\/p>

Pourquoi est-ce important?<\/strong><\/h3>

Lorsque l\u2019on r\u00e9fl\u00e9chit \u00e0 la mani\u00e8re dont les communaut\u00e9s de guichet unique sont organis\u00e9es, il est important de garder \u00e0 l\u2019esprit que l\u2019\u00e9cosyst\u00e8me du guichet unique est devenu de plus en plus vaste et complexe. Environ 96% du code commercial contient un code source ouvert et 76% du code en g\u00e9n\u00e9ral est open source, selon le Rapport OSSRA 2023<\/a>. L\u2019existence de fondations priv\u00e9es et d\u2019un grand nombre de grandes entreprises technologiques contribuant \u00e0 la fourniture du guichet unique au moyen de financements ou de contributions directes a continu\u00e9 d\u2019augmenter ces derni\u00e8res ann\u00e9es.<\/p>

Cela \u00e9tant dit, il peut \u00eatre difficile de cartographier tout ce qui est utilis\u00e9 en premier lieu dans le cadre des infrastructures de s\u00e9curit\u00e9. Il y a m\u00eame <\/em>solutions innovantes pour en suivre un, en s\u2019appuyant sur certains logiciels libres pour contribuer \u00e0 la maintenance de composants cl\u00e9s dans une cha\u00eene de valeur (par exemple: Purgeurs<\/a>, FossFunders (Fonds de financement)<\/a>, Promoteurs de GitHub<\/a>, etc), mais il s\u2019agit souvent de solutions imparfaites au mieux.<\/p>

En outre, ces efforts semblent insuffisants pour r\u00e9soudre le probl\u00e8me fondamental de la p\u00e9nurie d\u2019entretien (par exemple, ressources et attention) sur le terrain. L\u2019ampleur actuelle du d\u00e9veloppement de logiciels libres n\u00e9cessite: en savoir plus <\/em>engagement public et financement public, pas une confiance incontest\u00e9e dans les meilleurs membres de la communaut\u00e9 open source pour garantir sa s\u00e9curit\u00e9. Des prescriptions sp\u00e9cifiques doivent \u00eatre pr\u00e9vues pour renforcer la gouvernance du guichet unique et contribuer \u00e0 surmonter les difficult\u00e9s li\u00e9es \u00e0 la poursuite de l\u2019engagement et \u00e0 l\u2019\u00e9puisement professionnel.<\/p>

Ces observations ont donn\u00e9 lieu \u00e0 plusieurs demande un renforcement de la responsabilit\u00e9 collective et des investissements publics<\/a> dans la r\u00e9gion, \u00e0 l\u2019instar de ce que Fonds souverain pour les technologies<\/a> c\u2019est le cas en Allemagne. Il y a \u00e9galement eu appels r\u00e9cents au Royaume-Uni<\/a>, par exemple. L\u2019objectif de ces efforts serait de recenser et de soutenir les composants logiciels essentiels du point de vue de l\u2019int\u00e9r\u00eat public g\u00e9n\u00e9ral, tels que la cybers\u00e9curit\u00e9, la souverainet\u00e9, la d\u00e9pendance industrielle, les services publics ou la r\u00e9silience globale de la pile internet.<\/p>