IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

« Les modules de protestation open source destructeurs nuisent au mouvement open source dans son ensemble », lance l'Open Source Initiative
Dans le contexte de l'opération militaire russe en Ukraine

Le , par Patrick Ruiz

40PARTAGES

15  2 
Le développeur à l'origine du populaire paquet npm "node-ipc" a sorti une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements introduisent un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur. Le tableau soulève des questionnements : que penser de la sécurité de la chaîne d’approvisionnement des logiciels libres et open source ? Doit-on mélanger développement de logiciels et prises de positions politiques ? L’Open Source Initiative recommande aux mainteneurs de se limiter à des contenus textuels de protestation. Le cas Notepad++ enseigne que même cette approche est susceptible de fragiliser l'open source.

L’Open Source Initiative (OSI) réitère sa position sur l’opération militaire russe en Ukraine : l’organisation condamne. Elle attire cependant l’attention sur les modules de protestation open source destructeurs qui « nuisent au mouvement open source dans son ensemble. » L’OSI recommande aux mainteneurs de projet open source de se limiter à des contenus textuels de protestation.

L’intégralité du commentaire de l’OSI

Cette semaine marque un mois depuis le début de la guerre de Poutine contre l'Ukraine. Nous avions alors exposé la position de l'OSI - l'OSI condamne l'attaque de l'Ukraine par l'armée russe sous la direction de Vladimir Poutine - mais un nouveau développement a un impact direct sur la communauté open source et justifie un nouveau commentaire.

Le nouveau développement est que des mainteneurs en colère ont commencé à ajouter du code à un petit nombre de dépôts de logiciels libres pour protester contre la guerre. Une fois déployé, ce logiciel open source de protestation exprime l'opposition du mainteneur à l'invasion de l'Ukraine par le gouvernement russe. La plupart des logiciels de protestation affichent simplement des messages anti-guerre ou pro-ukrainiens lorsqu'ils sont exécutés. Il s'agit d'une forme de protestation non violente et créative qui peut être efficace.

Mais, dans au moins un cas - le module peacenotwar du paquet node-ipc - une mise à jour sabote les développeurs de npm avec un code destiné à effacer les données stockées en Russie et au Belarus. Dans un billet de blog du 16 mars sur le code malveillant, Liran Tal, de Snyk, a déclaré : " Cet incident de sécurité implique des actes destructeurs de corruption de fichiers sur le disque par un mainteneur et ses tentatives de cacher et de reformuler ce sabotage délibéré sous différentes formes. "

La "militarisation de l'open source", comme l'appelle Gerald Benischke dans son billet de blog du 16 mars, se fait sans discernement et les dommages collatéraux qu'elle provoque portent atteinte au travail des développeurs et des opérateurs uniquement parce qu'ils ont une adresse IP attribuée par la Russie. Elle nuit aux pacifistes autant qu'aux bellicistes - même les hackers éthiques utilisant un VPN pour travailler contre l'invasion peuvent subir des dommages.

Il est compréhensible que cette situation ait suscité l'indignation. Nous partageons cette indignation. La protestation est un élément important de la liberté d'expression qui doit être protégé. L'ouverture et l'inclusion sont les pierres angulaires de la culture de l'open source et les outils des communautés open source sont conçus pour un accès et une participation à l'échelle mondiale. Collectivement, la culture et les outils mêmes de l'open source - suivi des questions, systèmes de messagerie, dépôts - offrent un canal de signalisation unique qui peut contourner la censure imposée par les tyrans pour conserver leur pouvoir.

Au lieu de logiciels malveillants, une meilleure approche de la liberté d'expression serait d'utiliser les messages dans les journaux de commit pour envoyer des messages anti-propagande et de publier des trackers pour partager des informations précises à l'intérieur de la Russie sur ce qui se passe réellement en Ukraine aux mains de l'armée russe, pour citer deux possibilités évidentes. Il y a tellement de possibilités pour les communautés open source d'être créatives sans nuire à tous ceux qui chargent la mise à jour.

Nous encourageons les membres de la communauté à utiliser les libertés et les outils de l'open source de manière innovante et judicieuse pour informer les citoyens russes de la réalité des préjudices imposés aux citoyens ukrainiens et pour soutenir les efforts humanitaires et d'assistance en Ukraine et en faveur de ce pays.

À plus long terme, il est probable que cette militarisation de l’open source revienne à cracher dans le vent : les inconvénients du vandalisme des projets open source dépassent de loin les avantages possibles et le retour de flamme finira par nuire aux projets et aux contributeurs responsables. Par extension, c'est tout l'open source qui en pâtit. Utilisez votre pouvoir, oui, mais utilisez-le à bon escient.

Même les contenus textuels peuvent mettre à mal l’open source

C’est ce qu’enseigne le cas Notepad++. La mouture 7.8.1 disponible a fait coulé beaucoup d’encre sur les réseaux sociaux en en raison de ce qu’elle porte le nom de baptême « Free Uyghur. » L’image sur le compte Twitter dédié à l’application donne quelques indices au travers des habituels mots clés qui accompagnent les publications : Chine, violation des droits de l’homme.


Le texte qui accompagne le logiciel sur le site dédié est quant à lui plus clair :

« Les droits de l'homme en Chine sont toujours un sujet très controversé. Depuis 2017, de nombreuses informations font état de détentions extrajudiciaires dans des "camps de rééducation", d'endoctrinement politique et parfois même de tortures de la population ouïghour. Selon les estimations de 2018, le nombre de détenus s'élèverait à des centaines de milliers.

Les Ouïghours ne sont pas d'origine ethnique chinoise, mais vivent dans la région dite autonome du Xinjiang en Chine. Le nom de la région suggère que les Ouïghours jouissent de l'autonomie. Mais tout comme le Tibet, le Xinjiang est une région de Chine étroitement contrôlée. Après le récent conflit du Xinjiang, Pékin a transformé le groupe ethnique ouïghour en un collectif terroriste. Cela a permis à Pékin de justifier sa transformation du Xinjiang en un État sous surveillance. L'islamophobie a également connu une hausse marquée dans toute la Chine.

Au moins 120 000 membres de la minorité ouïghour musulmane de Kashgar ont été détenus dans les camps de rééducation du Xinjiang qui visent à changer la pensée politique des détenus, leur identité et leurs convictions religieuses. Les rapports du Congrès mondial ouïghour soumis aux Nations Unies en juillet 2018 indiquent qu'un million d' Ouïghours sont actuellement détenus dans les camps de rééducation.

Le fait que de telles informations vous parviennent est déjà une action en soi. Vous pouvez à votre tour faire participer plus de personnes pour qu'ils se concentrent sur cette question et, espérons-le, exercent des pressions supplémentaires sur le gouvernement chinois pour qu'il mette fin à ses actions oppressives et à ses crimes contre le peuple ouïghour.

Le fait que vous venez d'apprendre de telles informations est déjà une action en soi. Mais vous pouvez faire participer plus de gens pour qu'ils se concentrent sur cette question et, espérons-le, exercer des pressions supplémentaires sur le gouvernement chinois pour qu'il mette fin à ses actions oppressives et à ses crimes contre le peuple ouïghour.

Les gens me diront encore une fois de ne pas mélanger la politique avec le logiciel/les affaires. Adopter un tel positionnement a certainement un impact sur la popularité de Notepad+++ même s'il faut noter que parler de politique est exactement ce que les entreprises dans cette filière essaient généralement d'éviter. Le problème, c'est que si nous ne nous occupons pas de politique, la politique s'occupera de nous. Nous pouvons choisir de ne pas agir quand les gens sont opprimés, mais quand arrivera notre tour, il sera trop tard et il n'y aura peut-être personne pour prendre position pour nous. Il n'est pas nécessaire d'être ouïghour ou musulman pour agir, il suffit d'être humain et d'avoir de l'empathie pour nos semblables. D'où la sortie de la présente version de Notepad++ avec pour nom de baptême Free Uyghur. »

Une prise de position politique qui divise

Sur GitHub, les réactions des internautes chinois s’apparentent à un véritable raz de marée avec, dans l’ensemble, un dénominateur commun : beaucoup d’hostilité vis-à-vis de l’éditeur de l’application au motif de ce que sa prise de position s’appuie sur de fausses nouvelles propagées par des médias occidentaux au sujet de la minorité ouïghour.

« Les nouvelles concernant la persécution des Ouïghours par la Chine sont un mensonge inventé par des médias tels que la BBC et CNN. Si vous n'êtes pas allé en Chine pour en faire l'expérience vous-même, vous utiliserez le ouï-dire comme conclusion. C'est une paralysie de la liberté humaine et de la démocratie. Le Xinjiang est confronté à la menace du terrorisme. Est-ce votre soutien à ces actes terroristes ? Le Xinjiang a fait beaucoup d'efforts pour protéger les gens du terrorisme. N'aidez-vous pas les gens à se tenir à l'écart de la menace d'une vie en danger ? Lutter contre le terrorisme, c'est protéger les droits de l'homme.

En tant qu'excellent logiciel dans le domaine technique, vous ne devriez pas toucher à des sujets qui sont politiquement incorrects. Pouvez-vous publier des propos racistes aux États-Unis ? Pouvez-vous louer les nazis en Allemagne ? La politique ne devrait pas envahir le monde de la technologie. Je suis très déçu que vous preniez les fake news pour des faits », lit-on.

C’est sur Twitter que Don Ho a récolté le plus de soutiens dans ce qui s’apparente désormais à une rixe entre Occidentaux et Chinois.


« Quand vous êtes attaqué par les bots et les wumao, cela signifie que vous avez fait ce qu'il fallait. Votre courage de soutenir la juste cause doit être salué. J'attends avec impatience la prochaine édition avec pour nom de baptême Stand with Hong Kong », a lancé un internaute.

Des élans de nationalisme font surface autour de l’open source

La Chine a officialisé une alternative à GitHub – le service web américain d’hébergement et de gestion de logiciels – au cours de l’année 2020. Gitee compte 9 ans d’existence en Chine. Une sortie d’un responsable de Huawei en lien avec ce développement en dit long sur l’objectif : « Si la Chine ne dispose pas de sa propre communauté open source pour maintenir et gérer les projets, notre industrie nationale du logiciel sera très vulnérable à des facteurs incontrôlables. » L’intervention de Wang Chenglu pointe du doigt les sanctions à répétition des autorités américaines.

Ces mesures peuvent à juste titre être perçues comme une extension de celles qui découlent de la guerre commerciale entre les USA et la Chine. En effet, à mi-parcours du mois de mai 2019, le président Donald Trump a signé un décret qui établit les bases pour empêcher des entreprises de télécommunications chinoises telles que Huawei de vendre du matériel aux États-Unis. La mesure visait à neutraliser la capacité de la Chine à compromettre les réseaux sans fil et les systèmes informatiques américains de la prochaine génération. L’ordonnance interdit l’achat ou l’utilisation de toute technologie de communication produite par des entités contrôlées par « un adversaire étranger » susceptible de saboter des systèmes de communication américains ou de créer des « effets catastrophiques » sur l’infrastructure américaine.

Y faisant suite, le ministère américain du Commerce a pris une mesure connexe qui interdit aux entreprises américaines de vendre des composants et des logiciels à Huawei et à 70 de ses affiliés (désormais inscrits sur la liste américaine d’entités à bannir) sans autorisation. Avec le verrouillage des comptes d’utilisateurs de Crimée et d’Iran, on en découvre une nouvelle facette.

L’officialisation de Gitee a un bon côté : elle vient créer de la concurrence dans un secteur des services en ligne dominé par les plateformes US. Elle n’échappe cependant pas à la dualité, la Chine étant connue comme le pays où la fiction Big Brother de 1984 tend à devenir réalité. Avec ses 10 millions de dépôts, les autorités chinoises positionnent déjà Gitee comme deuxième plus grosse plateforme d’hébergement et de gestion de projets logiciels open source. Les murs ne cessent de s’élever de part et d’autre et avec eux le risque que l’on s’achemine de plus en plus vers la fin du rêve d’Internet : communication sans frontières et connaissance pour tous.

Source : OSI

Et vous ?

Est-ce une bonne idée de mêler développement de logiciels et prises de positions politiques ?
L’open source doit-il souffrir des politiques des pays ? Est-il possible qu’il en soit autrement ?
Doit-on encourager la multiplication d’initiatives comme Gitee ?

Voir aussi :

Un dev open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets, il avait précédemment demandé à être rémunéré pour son travail

La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

Environ 26 % de toutes les menaces JavaScript malveillantes sont obfusquées, selon une étude d'Akamai

Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels, la popularité des paquets en fait de parfaits vecteurs d'attaques

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 12/04/2022 à 15:59
Ces andouilles sont juste en train de tuer npm. À ce train là, plus personne ne va avoir confiance en ces dépôts.
9  0 
Avatar de coolspot
Membre éprouvé https://www.developpez.com
Le 12/04/2022 à 16:42
Encore des guignols qui veulent exprimer leur idéologie dans un endroit non prévu pour. Ils vont juste ridiculiser npm et le logiciel libre en regle générale alors que tu les a jamais entendu faire leur cirque pour les 500k enfant mort bombardé par les USA en Irak ou bien le conflit au Yemen depuis x années

Ces débile profond ne savaient meme pas ou se situer l'Ukraine sur une map ya 1 mois et demi mais ils ont trouvé une nouvelle cause à leur vie vide de sens et s’engouffre dedans

Enfin bon entre ce genre d'idiotie et les recente affaire de paquet vérolé de NPM, c'est composer qui va prendre son envol a ce rythme.
9  0 
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 12/04/2022 à 18:12
Framework JS complet comme dans d'autre languages? Et deJà chargé sur la machine avec l'update du browser
Le dossier node_modules de mon projet contiens 29.000 fichiers... C'est pas normal d'avoir tout ça
7  0 
Avatar de Paradoxalix
Membre du Club https://www.developpez.com
Le 27/03/2022 à 19:40
Une simple réflexion : l'internet n'a pas été conçu comme une arme ... il y aura toujours des ... pour tuer à coups de marteau , c'est triste

Indépendamment de toute condition "Morale", la justification de nos actes en fin de compte s'avère toujours à géométrie variable selon les croyances locales qui sont les nôtres.

Mais : la fin ne justifie jamais les moyens : croire que des actes violents peuvent être une solution mène à la barbarie en ligne droite.

La destruction d'un outil commun au service de l'échange des idées et de la science entre communautés s'avère une catastrophe qui pourrait être bien plus importante que les conséquences d'une guerre locale .

L'outil informatique qui actuellement contrôle l'enseignement , la police , les armées , la médecine, l'astronautique ... en fait la sécurité de tous : est menacé gravement par le sabotage des données.

Que ferons-nous si l'internet nous détruit les fruits de notre travail ?
Combien y aura-t-il de morts causées par l'absence d'une information cruciale au moment critique ?

Empoisonner un puits dans le désert est une peccadille en comparaison.

Je n'ignore pas que dans le feu de la colère on puisse faire n'importe quoi , nous sommes tous des humains ; nous ne sommes que des humains après tout.

Mais nous devons nous souvenir qu'avec un clavier nous avons de fait dans les mains une arme de destruction massive potentielle.
Toutefois , nous n'aurons aucune excuse si nous nous en servons.

Un grand pouvoir exige une grande responsabilité.

L'internet a permis l'envol de la pensée , il ne doit pas devenir son tombeau ...

Paradoxalix
6  1 
Avatar de esperanto
Membre émérite https://www.developpez.com
Le 13/04/2022 à 9:37
Citation Envoyé par Patrick Ruiz Voir le message
Ce cas vient allonger une liste de modules de protestation open source qui ne cesse d’aller croissant depuis le début de l’opération militaire russe en Ukraine. En effet, le développeur à l'origine du populaire paquet npm "node-ipc" a lui aussi sorti une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements introduisent un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur.
S'il s'agit du code donné juste en dessous en plus ça ne marche pas: ce n'est pas basé sur l'IP, contrairement à ce qui est écrit, mais sur le nom du fuseau horaire (le nom, j'insiste, même pas le fuseau lui-même). Or la Russie a beau être grande, elle n'est pas toute seule sur ses fuseaux horaires, et on peut imaginer que certaines zones soient référencées avec leur nom russe même dans d'autres pays
Sans même parler du gars qui quitte Kaliningrad pour la Pologne, se retrouvant dans le même fuseau horaire mais oubliant de changer le nom du fuseau horaire à son arrivée en Pologne...

Citation Envoyé par coolspot Voir le message
Ils vont juste ridiculiser npm et le logiciel libre en regle générale
C'est quand même assez curieux que le phénomène semble exclusivement toucher l'écosystème NPM/Javascript, du moins dans tous les exemples qui ont été rapportés sur dev.com: hasard? L'univers Javascript serait-il un repère de politiciens amateurs? Dans ce cas ce serait vraiment dommage que l'effet se ressente sur l'ensemble du logiciel libre ... car même RMS n'aura pas fait aussi fort!
4  0 
Avatar de daerlnaxe
Membre éprouvé https://www.developpez.com
Le 27/03/2022 à 19:50
Citation Envoyé par walfrat Voir le message
Comme si dans les annéees 80/90, tout les développeurs relisaient l'entièreté du code qu'ils intégraient.

En outre aujourd'hui la "pile" qu'on intègre est sans conteste 100 fois plus grosses qu'a l'époque. Je veux dire, tu veux intégrer Angular ? Il te faudra non seulement te palucher les quelques Mega de code pur Angular mais aussi le code de toutes les dépendances.

Aujourd'hui c'est simple : a part si tu veux avancer cent fois moins vite que le reste du monde, c'est impossible de valider l'entièreté du code que tu ajouterais comme dépendance. Tu as évidemment l'option de tout recoder toi-même, en moins bien, en admettant que ça finisse par marcher, et en plus cher.

En revanche je trouve ça un peu dommage côté outillage, détecter du code sciamment obfusqué en base 64 ne devrait plus être si compliqué que ça de nos jour.

Enfin j'ai beau être développeur, pour les experts du domaines, ce ne serait pas trop difficile de me pondre un code malveillant et que je ne vois rien, comme la plupart des développeurs.
De toute manière déjà rien que el fait de passer par une IDE lève beaucoup de taff et rend dépendant même quand on voudrait l'être le moins possible. Si vraiment faut réécrire du début ça va être violent. Par ailleurs j'en ai marre de voir débarquer de la politique à toutes les sauces surtout que bien souvent les gens sont peu/mal renseignés. Est ce qu'on va foutre de l'IT en politique...

Imaginez le meeting d'un candidat, avec préférez tel langage ! Utilisez tel framework !
4  1 
Avatar de dharkan
Membre actif https://www.developpez.com
Le 15/07/2022 à 15:20
Toutes ces vierges effarouchées m'énervent ! Quid des yankees qui se prennent pour des croisés sauveurs du monde avec toutes leurs guerres ?
0  0 
Avatar de phedra60
Membre à l'essai https://www.developpez.com
Le 03/04/2022 à 17:05
Quel est votre avis sur le sujet ?
Insérer du code malveillant dans un programme est un acte de piratage, que ce soit le sien ou celui d'un autre.

Que pensez-vous des agissements du mainteneur du paquet npm node-ipc ? Est-ce bien ?
Evidemment que c'est mal ! Comment pourrait-on qualifier de bien le fait de détruire les fichiers d'utilisateurs quelconques ?

Même s'il s'agit de son œuvre, a-t-il le droit de saboter un paquet dont dépendent des milliers de projets ?
Je ne suis pas avocat. Pour moi c'est du piratage. Maintenant, à voir si l'on part du principe que les gens vont chercher volontairement le code, ou que les c'est involontaire, les mies à jour étant automatisées. Bref, encore une fois, j'suis pas avocat !

Selon vous, quels impacts ces sabotages pourraient avoir sur la communauté open source et les logiciels libres ?
Mauvais. Seuls les sociétés qui auront le temps de faire une vrai review du code, et les compétences pour détecter les failles de sécurité vont finir par pouvoir se permettre de l'utiliser. Et comme le souligne certains, cela pourrait se révéler être un boulot trop conséquent !
On ne pourra bientôt plus qualifier le monde Open Source de fiable, avec des crétins pareils.
0  1