Allons-nous vers une fracture Est/Ouest des communautés Open Source ?
L’incursion du géant asiatique dans l’univers des logiciels libres n’est pas récente. Elle remonte à 1999, avec l’avènement de Red Flag Linux. Toutefois, son influence s’est depuis, largement accélérée, au point d’être aujourd’hui le deuxième pays représenté sur GitHub en nombre de développeurs. Alors que l’Occident a pendant longtemps dominé le secteur de l’Open Source, la Chine est en passe, ainsi, d’en devenir le nouveau centrede gravité mondial.
En soi, cette accélération serait plutôt positive, si le climat géopolitique actuel n’était pas si tendu. La communauté Open Source s’est toujours nourrie de partenariats entre développeurs de toutes origines, stimulant l’innovation et les progrès informatiques. Aujourd’hui, on imagine pourtant mal une grande institution financière américaine migrer de RHEL vers Open Euler ou OpenKylin, pas plus qu’un partenariat entre un organisme public US et des acteurs chinois de l’Open Source.
Comment collaborer, en effet, ou même adopter des logiciels du camp « adverse », alors que se posent d’importants défis de sécurité ? Les projets data, en particulier, restent chasse gardée, considérés comme un enjeu critique.
À l’Ouest comme à l’Est, la sécurisation des logiciels libres reste un défi de taille
En effet, si beaucoup considèrent les logiciels libres comme plus sûrs, sous prétexte que leur code est visible, de nombreuses failles de sécurité ont été documentées. Elles sont souvent dues au manque de ressources des projets Open Source et au fait que ces logiciels dépendent fortement de mainteneurs bénévoles. Or, la sécurisation requiert du temps, de l'énergie et de la diligence.Plus problématique encore que le manque de ressources, est la longue « chaîne d'approvisionnement » dont dépendent ces outils. Raison pour laquelle des nomenclatures logicielles (SBOM) ont été conçues pour valider les codes pré-existants à tout logiciel Open Source. Une précaution qui ne garantit pas une sécurité totale. Récemment, un acteur, probablement parrainé par un État, a ainsi infiltré une porte dérobée dans OpenSSH en attaquant sa chaîne d'approvisionnement logiciels. Cette attaque a été décrite par Michał Zalewski, lauréat du Lifetime Achievement Pwnie Award, comme l’une des plus audacieuses de ces dernières années, prouvant que les solutions Open Source
sont loin d’être infaillibles.
Restaurer la confiance en créant des « Nations Unies » de l’Open Source
Face à ces risques, chaque bloc, Ouest et Est, se retranche derrière son bunker. Une scission qui pourrait aboutir à une véritable apocalypse, puisque l’essence même de l’Open Source repose sur la notion de bien public partagé.Si nous voulons poursuivre la démarche de progrès propre aux logiciels libres, nous devons dépasser les conflits géopolitiques. Pour cela, doivent être créés des groupes d’intérêt communs autour de la sécurisation des chaînes d'approvisionnement, s’inspirant notamment des démarches CVE (Common Vulnerabilities and Exposure) de MITRE. On pourrait imaginer, ainsi, une sorte de Nations unies de l'Open Source.
Dirigée par des représentants de l’ensemble de la planète, cette organisation aurait alors pour mission de partager les meilleures pratiques, d'authentifier l'identité des contributeurs en s’appuyant sur des organismes d'audit, et d’imposer un modèle de gouvernance rendant obligatoire la base de code pour l’obtention de toute certification.
En partageant largement ces processus et en rendant accessibles des outils de sécurité, nous pouvons renforcer la confiance nécessaire à un avenir global de l’Open Source. La sécurité et le progrès doivent être des projets communs, gérés en communauté mondiale, pour éviter la division et préserver ce bien commun.
Par Randy Bias, VP Open Source Strategy & Technology chez Mirantis