Que s'est-il passé ces derniers jours avec XZ Utilitaires et FFmpeg suscite de nombreuses inquiétudes quant à l’avenir du logiciel libre. Je me rends compte que le titre ressemble à un clickbait, mais mon intention n'est pas d'être apocalyptique ou de générer des visites mais de souligner un fait qui inquiète de nombreux observateurs.
Richard Stallman est un grand programmeur, mais connaître la nature humaine n'est pas son truc. Le mouvement du logiciel libre nécessite la bonne volonté de la plupart des participants et c'est ce qui semble manquer.
Je ne reproche pas à Stallman son succès. Mais si la Free Software Foundation avait été dirigée par quelqu'un qui connaissait mieux le fonctionnement de l'industrie, des précautions auraient probablement pu être prises pour éviter de telles situations.
À propos des utilitaires XZ et de FFmpeg
Comme nous l'avons dit dans l'article susmentionné, XZ Utils est une bibliothèque de compression que la plupart des distributions Linux incluent généralement. Le développeur principal étant épuisé, il a confié l'initiative à un autre développeur se faisant appeler Jian Tao. Un programmeur a découvert que Jian Tao incluait du code susceptible de faciliter un accès non autorisé dans certaines circonstances. Des enquêtes ultérieures ont montré qu'il avait déjà tenté de le faire dans un autre projet.
FFmpeg est une bibliothèque open source pour enregistrer, éditer et transcoder du contenu multimédia.
Sur compte du réseau social X du projet a été publié :
Le fiasco de xz a montré à quel point le recours à des bénévoles non rémunérés peut causer des problèmes majeurs. Les entreprises qui génèrent des milliards de dollars attendent un soutien gratuit et urgent de la part des bénévoles.
@Microsoft @MicrosoftTeams a publié sur un outil de suivi des bogues géré par des bénévoles que leur problème est « hautement prioritaire »
Après avoir poliment demandé un contrat de support à Microsoft pour une maintenance à long terme, ils ont proposé un paiement unique de quelques milliers de dollars.C'est inacceptable.
Ce n'est pas la première fois qu'un volontaire crée un problème de sécurité.
Heartbleed était un problème de sécurité sérieux pour la bibliothèque open source OpenSSL. Il s'agissait d'une vulnérabilité qui permettait aux attaquants de lire la mémoire d'un serveur ou d'un client, accédant ainsi à des informations confidentielles. stockés en mémoire, comme les clés privées SSL d'un serveur.
La vulnérabilité a été introduite dans un patch qu'un bénévole a téléchargé une heure avant la nouvelle année. Aucune intention malveillante n’était soupçonnée à l’époque.
L'origine du problème
Au cours des deux premières décennies de ce siècle, le modèle économique des entreprises technologiques spécialisées dans les solutions destinées aux grandes entreprises et organisations a changé. Traditionnellement Elle était basée sur la vente de produits physiques. Il s’agit de solutions combinées matérielles et logicielles vendues sur support physique.
Avec la diffusion d’Internet et la popularisation du cloud, l’axe de la rentabilité s’est déplacé de la vente de produits physiques vers la fourniture de services. Des entreprises comme IBM, Red Hat, Oracle et plus tard Ubuntu ont bâti une entreprise basée sur Linux et d'autres produits open source en facturant le support technique. Au fil du temps, Microsoft lui-même a dû ajouter la prise en charge de ces projets à sa propre plate-forme cloud.
Le problème est que bon nombre de ces entreprises bénéficient de logiciels gratuits et open source mais n’y contribuent pas. Mes collègues et moi avons couvert l'actualité de plusieurs projets qui ont changé de licence parce qu'ils sont utilisés pour gagner de l'argent par des organisations qui ne donnent rien en retour.
Cette combinaison de développeurs épuisés, de mauvaise foi, d’espionnage gouvernemental et de cupidité crée un cocktail dangereux. ce qui pourrait éventuellement conduire à la fin du mouvement du logiciel libre, à la fois en raison du manque de bénévoles et de la perte de sa crédibilité.
Comment le résoudre?
Je pense qu'il faudrait modifier les licences des logiciels libres et open source, en obligeant ceux qui obtiennent un avantage économique à contribuer aux projets dont ils bénéficient.