Le monde de l’open source est en ébullition après la découverte de la faille Log4shell trouvée dans la librairie Apache Log4j dédiée à la journalisation des applications Java. Elle a occupé les RSSI et les administrateurs systèmes à la fin de l’année 2021. Mais cette vulnérabilité provoque aussi des remous au sein de la communauté open source, après avoir pointé du doigt la maintenance faible (par manque de moyens) de cette librairie. Pour alerter sur ce problème et stigmatiser l’absence de participation des grandes sociétés au soutien des projets, un développeur a délibérément corrompu ses librairies.
C’est le cas du dépôt NPM Colors et Faker (alias Colors.js et Faker.js sur Github). La première affiche plus de 20 millions de téléchargements hebdomadaires rien que sur npm et près de 19 000 projets en dépendent. Quant à faker, elle compte plus de 2,8 millions de téléchargements hebdomadaires sur npm et enregistre plus de 2 500 projets rattachés. Concrètement, le « mainteneur » des deux librairies, Marak Squirres a intégré « un nouveau module de drapeau américain » dans la version v1.4.44-liberty-2 qu'il a ensuite poussée sur GitHub et npm. La boucle infinie ainsi créée génère une chaîne de caractères non-ASCII précédée d’un texte « Liberty, Liberty, Liberty ».
Une pression sur les grands groupes à contribuer aux projets open source
Pour expliquer ce geste, Marak Squirres pointe du doigt les grandes entreprises notamment IT qui utilisent les projets open source sans contribuer en retour au développement et au support. En novembre 2020, il avait indiqué « ne plus vouloir soutenir les entreprises du Fortune 500 avec mon travail « gratuit » et que les entreprises devaient penser à forker le projet ou rémunérer le développeur avec un salaire annuel à 6 chiffres ». Cette question de la participation des grands groupes au projet open source est un vieux débat. Il a resurgi lors de l’affaire Heartbleed ou plus récemment avec le changement de licence pour Elastic (ce qui a conduit AWS à forker le projet).
L’action de Marak Squirres a diversement été appréciée dans la communauté open source. Certains ont salué cette initiative, d’autres sont plus critiques. Un expert en sécurité a qualifié « d’irresponsable » cette manière de faire en soulignant que le développeur pénalise à la fois les grands groupes, mais aussi les autres utilisateurs. En réponse à cette modification, Github a suspendu le compte du développeur et le dépot npm de faker.js a été remise à une ancienne version. Une décision qui là encore a fait l’objet d’avis mitigés.
Commentaire