Il y a plusieurs semaines, la communauté Linux a été secouée par les nouvelles inquiétantes selon lesquelles des chercheurs de l’Université du Minnesota avaient développé (mais, en fait, pas complètement exécuté) une méthode pour introduire ce qu’ils ont appelé des « engagements hypocrites » dans le noyau Linux – étant de distribuer des comportements difficiles à détecter, dénués de sens en eux-mêmes, qui pourraient plus tard être alignés par les attaquants pour manifester des vulnérabilités.

Cela a été rapidement suivi par l’annonce – à certains égards tout aussi inquiétante – que l’université avait été interdite, au moins temporairement, de contribuer au développement du noyau. Des excuses publiques des chercheurs ont suivi.

Bien que le développement et la divulgation d’exploits soient souvent désordonnés, exécuter des programmes « d’équipe rouge » techniquement complexes contre le projet open source le plus grand et le plus important au monde semble un peu plus. Il est difficile d’imaginer des chercheurs et des institutions si naïfs ou abandonnés qu’ils ne comprennent pas le rayon d’explosion potentiellement énorme d’un tel comportement.

Tout aussi certain, les mainteneurs et la gouvernance du projet ont le devoir d’appliquer la politique et d’éviter de perdre leur temps. Le bon sens suggère (et les utilisateurs exigent) qu’ils s’efforcent de produire des versions de noyau qui ne contiennent pas d’exploits. Mais tuer le messager semble manquer au moins une partie du point – qu’il s’agissait de recherche plutôt que de pure malveillance, et qu’il met en lumière une sorte de vulnérabilité logicielle (et organisationnelle) qui demande une atténuation technique et systémique.

Les projets de l’échelle et de l’extrême criticité du noyau Linux ne sont pas prêts à faire face à des modèles de menace à hyper-échelle qui changent la donne.

Je pense que le contretemps « l’hypocrite commet » est symptomatique, de tous côtés, de tendances connexes qui menacent l’ensemble de l’open source étendu…

Voir la source de cette publication