Même si Linux a la réputation d'être le système le plus sûr du monde, sa sécurité est régulièrement mise à l'épreuve et elle le sera de plus en plus avec la multiplication des objets connectés qui, bien souvent, dépendent d'un noyau Linux. C'est donc pour renforcer la sécurité qu'une équipe propose depuis près de quinze ans un patch libre et open-source de chaque nouveau noyau Linux, grsecurity, administré par la société Open Source Security. Celle-ci vit des dons de la communauté, des sponsors, et de ses prestations de consulting dans la sécurité informatique.
Mais l'équipe de grsecurity a annoncé mercredi qu'elle cesserait de distribuer publiquement sous licence libre les versions stables de son patch, et qu'elle les réserverait désormais aux sponsors qui payeront pour avoir le droit de l'exploiter. Sans la citer sous les conseils de son avocat, mais de façon suffisamment explicite pour que tout le monde comprenne, l'équipe dirigée par Brad Spengler accuse Intel de l'avoir contraint à prendre une telle décision.
Spengler raconte en effet que de puissants industriels intègrent les patchs de grsecurity dans leurs solutions embarquées pour les objets connectés ou autres mobiles, en profitant de la licence GPL et de la disponibilité du code source pour ne pas dépenser un centime. Mais certaines d'entre elles, dont Intel, modifieraient le patch sans reverser leurs contributions à la communauté (comme l'impose la licence) ou, pire, prétendraient que grsecurity est implémenté dans leur produit alors qu'il est basé sur un noyau Linux qui n'est pas encore supporté par grsecurity.
DE VRAI-FAUX PATCHS GRSECURITY
Le patch est par exemple cité explicitement dans cette documentation technique (.pdf) sur les profils de sécurité proposés sur les passerelles IoT Intel qui "avec des composants logiciels et matériels de base pré-intégrés et pré-validés, relient les systèmes existants et nouveaux et permettent un flux de données transparent et sécurisé entre les périphériques et le Cloud". "Elles intègrent des technologies et protocoles de mise en réseau, de contrôle embarqué, de sécurité de niveau professionnel et d'administrabilité simplifiée sur lesquels les logiciels d'application reposent", assure Intel.
Or selon grsecurity (qui se contente de parler d'une "entreprise mutli-millardaire qui a fait de grsecurity un composant critique de sa plateforme embarquée"), la promesse de sécurité ne peut pas être faite en utilisant la marque déposée "grsecurity", alors que que le patch utilisé ne serait pas recommandé pour le noyau Linux embarqué, ni son éventuelle adaptation.
L'équipe a mis en demeure Intel de cesser d'utiliser grsecurity ou de se plier aux conditions de la licence, mais l'équipe juridique aurait refusé, estimant qu'il était dans son bon droit d'utiliser le logiciel libre, et niant l'avoir modifié malgré des preuves supposées démontrant qu'un employé d'Intel avait demandé conseils sur le forum du projet. La firme aurait par ailleurs menacé d'exercer tous les recours possibles et imaginables pour que l'éventuelle action judiciaire se transforme en gouffre financier.
D'où la décision de ne plus fournir à Intel et à tous les autres une version stable du patch, mais de continuer à publier une version en cours de développement pour ne pas handicaper des projets libres comme Gentoo Hardened et Arch Linux.
L'annonce a mis en colère la communauté du libre et de la sécurité informatique, dont l'activiste et hacker Jacob Applebaum qui parle d'une nouvelle "terrible" et "tragique" et qui n'hésite pas à pointer du doigt Intel, et la solution de terminaux de paiements Verifone :
This is terrible news for computer security: https://t.co/ADLIeVIqUM I guess @intel and @Verifone ruined @grsecurity for everyone. Tragic.
— Jacob Appelbaum (@ioerror) August 26, 2015
Son message a été repris en France par Benjamin Bayart, porte-parole de French Data Network (FDN) et co-fondateur de la Quadrature du Net, qui accuse les pouvoirs publics en apostrophant la ministre du numérique Axelle Lemaire. Il leur reproche de ne pas veiller à l'équilibre des forces et de protéger les grands industriels au détriment de ceux des communautés du libre et, plus globalement, des utilisateurs :
Voyez @axellelemaire des fois, les pouvoirs public pourraient défendre l'intérêt général. Mais ne le font jamais. https://t.co/JrCFLmCUOx
— Benjamin Bayart (@bayartb) 27 Août 2015
.@axellelemaire Les dev. critiques (Grsec, OpensSSL..) devraient avoir des soutiens puissants. Les gvt préfèrent financer des malfaiteurs…
— Benjamin Bayart (@bayartb) 27 Août 2015
.@axellelemaire Défendre l'intérêt des utilisateurs contre les multi-nationales, ça devrait être VOTRE boulot. @ioerror est là pour coder.
— Benjamin Bayart (@bayartb) 27 Août 2015
Une colère resté pour le moment sans réponse de l'intéressée.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !