Début janvier 2022, un développeur open source a volontairement altéré des bibliothèques informatiques, « faker.js » et « colors.js », sur lesquelles il travaillait, comme l’a repéré Bleeping Computer.
Une bibliothèque informatique est un ensemble de fonctionnalités que réutilisent les développeurs pour leurs différents projets afin de ne pas repartir de zéro. Ici, c’est une mauvaise surprise pour les milliers de projets qui dépendent de ces fichiers maintenant corrompus. Mais plus qu’une mauvaise blague ou un acte malveillant, ce sabotage résonne comme protestation contre la fragilité du monde de l’open source.
LIBERTY et Aaron Swartz
Les bibliothèques sabotées poussent les applications qui les utilisent à indéfiniment afficher une suite nébuleuse de signes et de symboles, ainsi que trois lignes avec les mots : « LIBERTY LIBERTY LIBERTY ». Un module appelé « American Flag » a aussi été ajouté.
D’après les informations de The Verge, color.js est de nouveau fonctionnelle après une mise à jour, mais faker.js serait toujours affectée. Il serait toutefois possible de contourner ce parasitage en retournant à la version 5.5.3 de la bibliothèque.
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
L’histoire ne s’arrête pas là. Plus étrange encore, le fichier « Readme », document texte qui contient usuellement des informations sur les autres fichiers d’un répertoire ou d’une application, a été modifié dans faker.js pour devenir « Qu’est-il réellement arrivé avec Aaron Swartz ? »
Swartz était un informaticien et hacktiviste américain qui a participé à la création de la licence Creative Commons, du flux RSS, et du réseau social Reddit. Son suicide en 2013, alors qu’il était poursuivi pour avoir volé des documents afin de les rendre publics alimente spéculations et théories du complot. Il semble que le titre du fichier renvoie à ce dernier point.
Un rappel de la précarité de l’open source
L’altération de ces fichiers ne ressemble pas à un poisson d’avril qui serait un peu trop en avance. Dans un message qu’on suppose railleur, publié le 8 janvier 2022 sur Github, Marak Squires, le développeur qui a modifié les deux projets, explique avoir pris connaissance du bug (qu’il a, pour rappel, lui-même mis en place).
Il poursuit : « sachez que nous sommes en train de travailler à résoudre ce problème et que nous allons avoir une solution rapidement ». Le tout accompagné d’une photo où l’acteur Danny Devito semble se retenir d’éclater de rire.
Certains éléments peuvent aider à comprendre les motivations de Marak Squires. Bleeping Computer a retrouvé un message du développeur publié en novembre 2020 sur Github. L’auteur explique alors ne plus vouloir continuer à travailler gratuitement pour les « fortune 500s » , c’est-à-dire les 500 plus grandes entreprises américaines, ni pour les autres entreprises plus petites. Le sabotage prend soudain des allures de grève 2.0 d’un développeur bénévole fatigué. Il faut toutefois rappeler qu’il ne s’agit pas de n’importe quel développeur. Plusieurs utilisateurs, sur Twitter et Reddit, ont pointé le passé trouble de Marak et dénoncé les théories du complot qu’il promeut.
Une énième histoire qui rappelle la précarité de l’écosystème du logiciel libre, sur lequel repose pourtant l’ensemble du monde de l’informatique. Ces projets open sources peuvent par définition être utilisés par tout le monde gratuitement, y compris par des géants de la tech aux chiffres d’affaires mirobolants. Or ces projets existent uniquement car une poignée de bénévoles y consacrent leurs temps, sans aucune rétribution.
Pour rappel, la faille gravissime Log4shell touchait elle aussi une bibliothèque codée en open source par des volontaires qui se compte sur les doigts d’une main.
Mise à jour 17h50 : ajout de précisions sur le profil trouble de Marak
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !