« L’intrusion de la géopolitique dans l’écosystème de l’open source est particulièrement inquiétante »

La quasi-totalité des logiciels utilisés par les particuliers, les entreprises et les gouvernements à travers le monde contiennent des composants open source − ces logiciels développés de façon collaborative et dont le code source est ouvert et accessible à tous pour être examiné, copié et modifié. Issu du mouvement pour les logiciels libres, l’open source est avant tout plébiscité comme une alternative aux solutions dites « propriétaires ».

Paradoxalement, il a été de plus en plus investi par les grandes entreprises technologiques, au risque de se voir dévoyé. Si elles ont été initialement réticentes au mouvement du logiciel libre lors de son émergence dans les années 1980, le jugeant contraire au principe de la propriété intellectuelle à la base de leur modèle économique, ces entreprises, notamment américaines, ont compris que recourir à l’open source permet des économies et une accélération de l’innovation, et facilite l’adoption et la diffusion des solutions développées. Google, Microsoft, Amazon et Intel sont aujourd’hui dans le top 5 des plus gros contributeurs aux projets open source hébergés sur la plate-forme GitHub, elle-même rachetée par Microsoft en 2018. Meta, pour sa part, développe son projet-phare de logiciel d’apprentissage machine, PyTorch, en open source.

Des erreurs aux graves conséquences

Grâce à cette stratégie, le logiciel est déjà considéré comme un leader du marché de l’intelligence artificielle, avec plus de 150 000 projets construits sur GitHub avec PyTorch. Or ce modèle est aujourd’hui victime de son succès. Si les projets des grandes plates-formes comptent des milliers de contributeurs, nombre de composants critiques utilisés très largement, par exemple dans les serveurs Web ou dans les systèmes de paiements en ligne, sont des projets open source développés et maintenus par de petites équipes de développeurs parfois bénévoles.

Lire aussi : Article réservé à nos abonnés « Les communs numériques, une alternative au contrôle total des données par le privé ou le public »

Des erreurs, volontaires ou non, dans ces codes peuvent avoir de sérieuses conséquences si elles sont exploitées. Ce fut le cas, il y a tout juste un an, avec « Log4Shell », une vulnérabilité sur le logiciel de journalisation Log4j présent sur de nombreuses applications et sites Web utilisant le langage Java.

Cette faille, considérée comme l’une des pires de l’histoire d’Internet, permettait à un attaquant de prendre le contrôle d’une application, voire d’un système d’information. Elle aurait été activement exploitée par des cybercriminels, mais aussi par des attaquants travaillant pour les gouvernements russe, chinois, iranien et nord-coréen.

Il vous reste 59.92% de cet article à lire. La suite est réservée aux abonnés.