La Fondation Linux vient de bannir l’Université du Minnesota de toute contribution de code au noyau Linux, projet phare de la communauté open source. Toute proposition de réécriture provenant d’une adresse mail umn.edu se verra automatiquement rejetée. Cette annonce fait suite à la publication d’une étude par deux chercheurs de l’Université intitulée : « Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits ». Les auteurs de cette étude, Qiushi Wu et Kangjie Lu, tous deux étudiants à l’Université du Minnesota, auraient intentionnellement soumis du code comportant des failles de sécurité dans un but expérimental. L’objectif initial : étudier dans quelle mesure un acteur malveillant pouvait infiltrer du code vulnérable dans l'un des plus importants projets de logiciels open source (OSS), le noyau Linux. Les chercheurs ont soumis des « hypocrite commits » ou des correctifs malveillants comme l’indique le nom de l’étude.
En réponse, Greg Kroah-Hartman, actuel mainteneur des branches stables du noyau Linux et membre de la Fondation du même nom, a déclaré sur Twitter que « les développeurs de Linux kernel n’aiment pas être testés » et précise que la plupart des changements opérés par les chercheurs seront supprimés. En représailles, Greg Kroah-Hartman a ajouté que toute future soumission de modifications de toute personne ayant une adresse umn.edu sera automatiquement rejetée. Les contributeurs seront toutefois libres d’accepter les propositions sous réserve de preuves concrètes de leur validité.
Effet boule de neige
De son côté l’Université du Minnesota réagissait dans un communiqué daté du 21 avril, expliquant que le groupe de recherche avait été suspendu en attendant les résultats d’une enquête plus approfondie. Les deux auteurs impliqués ont présenté à leur tour des excuses dans une lettre ouverte datée du 24 avril à la communauté Linux précisant que leur but n’était pas d’offenser les développeurs du projet mais simplement de mettre en évidence les brèches de sécurité liées au processus de corrections dans le noyau Linux et les moyens d’y remédier. Ils précisent que leur « travail n’a pas introduit de vulnérabilités dans le code Linux » et ajoutent que les résultats et conclusions de l’étude ont « été rapportés à la communauté avant la soumission de l’article » avec intégration de leurs commentaires.
Sur Twitter, la réaction de Greg Kroah-Hartman a été perçue par certains membres de la communauté open source comme une réaction excessive, notamment au sujet de la suppression des correctifs qui pourrait entraîner d’autres bugs initialement corrigés.