Linus appelle les pirates à rejoindre le développement du noyau Linux au lieu d’attaquer son code

Pour entretenir la communauté open source sur les technologies ouvertes comme Linux, les conteneurs, le cloud computing et plus encore, un évènement (Open Source Summit) qui a démarré depuis hier à Los Angeles aux États-Unis et s’étend jusqu’au 14 septembre. Cette conférence qui est une fédération de quatre évènements (LinuxCon, ContainerCon, CloudOpen et la New Open Community Conference) regroupe plus de 2000 développeurs, opérateurs, et professionnels en vue de collaborer et partager les informations sur les technologies ouvertes.

Pour la première journée d’Open Source Summit, Linus Torvalds, le créateur du noyau Linux a été invité afin de répondre aux questions de Jim Zemline, le directeur exécutif et fondateur de la fondation Linux. Lors de l’entretien, Linux a montré que ce qui le réjouissait en travaillant sur le noyau Linux est qu’il travaille sur quelque chose qui a de la valeur, et qui a un impact dans le monde professionnel.

Abordé dans ce sens, l’on pourrait se dire que la vie professionnelle de Linus est plus que parfaite. Il a embrassé une carrière qu’il aime. Il maîtrise son activité. Il travaille sur un projet qui est sous le feu des projecteurs. Mais Linus explique que son travail n’est pas aussi prestigieux qu’on pourrait le croire, car il est obligé de travailler à distance à la maison en peignoir. À plusieurs reprises, il a même été surpris à 3 h de l’après-midi alors qu’il était encore en peignoir, ajoute le fondateur de Linux. Pour ajouter un brin d’humour, le directeur de la fondation Linux a ajouté qu’à la fondation, il y a une politique qui oblige à prendre une douche avant midi. À cette remarque, Linus répond que c’est la raison pour laquelle il travaille à distance à la maison au lieu de se présenter au bureau.

Mais passé ces sujets, le créateur de Linux a abordé un sujet un peu plus sérieux et qui est la sécurité du noyau open source Linux qu’il développe. Il faut souligner que les projets open source, bien qu’ils passent par l’analyse de nombreux contributeurs afin de détecter des failles de sécurité, sont également ciblés par de nombreux pirates informatiques qui parviennent dans bien des cas à trouver la parade pour infiltrer les systèmes ou applications ciblés. Récemment, une faille dans le framework web Apache Struts a été exploitée par des cybercriminels pour accéder aux données personnelles d’environ 143 millions d’Américains gérées par Equifax, une agence de déclaration de crédit à la consommation aux États-Unis.

Sur le point de la sécurité de son noyau, Linus s’est voulu formel. « La notion de sécurité absolue n’existe pas ». « Même si nous faisons un travail parfait — et nous essayons de le faire — soyons honnêtes, il y aura toujours des bogues », a-t-il déclaré.

Il a toutefois précisé pour rassurer les utilisateurs que de nombreux contrôles de sécurité, y compris des analyses statiques et des tests à données aléatoires (le fuzzing) qui consistent à tester un logiciel en injectant des données aléatoires dans les entrées d’un programme, sont effectués pour le noyau.

Mais comme il l’avait déjà signifié, le fondateur du noyau tournant avec les systèmes d’exploitation GNU/Linux rappelle que « vous ne pouvez pas atteindre une sécurité absolue », car quelqu’un pourra toujours développer un projet sur le noyau qui introduira une vulnérabilité, même si ces développeurs font de leur mieux pour ne pas en créer.

Aussi concernant l’exploitation des failles, le créateur de Linux Kernel n’a pas manqué d’exprimer son étonnement vis-à-vis de l’ingéniosité dont font preuve ceux qui attaquent le code Linux. Et à ce sujet, Linus a lancé un appel à ces derniers en déclarant que « parfois, j’ai l’impression que ces gens intelligents font de mauvaises choses, mais j’aimerais qu’ils soient de notre côté parce qu’ils sont si intelligents et qu’ils pourraient nous aider ». Pour préciser sa pensée, il ajouta que « c’est là ce que je souhaite que nous atteignions. Nous devons essayer de récupérer autant de ces personnes intelligentes avant qu’elles basculent dans le côté obscur, ce qui permettrait d’améliorer la sécurité en ayant beaucoup de développeurs ». Et de conclure à ce sujet : « Je veux encourager les gens qui sont intéressés par la sécurité à nous rejoindre au lieu de nous attaquer. »

Bien que cet appel soit louable, pensez-vous qu’il sera attendu par les acteurs exploitant leurs compétences de développeurs à mauvais escient ? Certaines personnes s’adonnant à ces pratiques répréhensibles déclarent tirer d’importants revenus en trouvant et en exploitant les failles de sécurité dans ces systèmes. Pour plusieurs personnes, en motivant financièrement ces développeurs malveillants, ils pourraient mettre leurs compétences à un but plus utile.

Mais d’un autre côté, d’autres soulignent qu’il y a déjà les Bug Bounty qui existent déjà, mais cela n’empêche pas qu’après avoir trouvé des failles, ces tiers malveillants préfèrent les vendre sur le dark web.

Mais au-delà de ces opinions controversées, l’on pourrait se demander si la communauté de contributeurs ope -source ne dispose plus de talents pour soutenir le développement du noyau Linux.

 

 

 

 

 

 

Source : developpez.com

Voir Aussi

Linux Mint 18.3 édition Cinnamon est disponible en téléchargement.

Au menu : intégration de Flatpak au gestionnaire d’applications et plus La version stable de …