Un micrologiciel open source sert à diffuser le message « gloire à l'Ukraine » sur des rideaux de LED en Russie :

Le mouvement open source doit-il servir d'outil de positionnement politique ?

?

Le propriétaire d'un appartement à Veliky Novgorod, en Russie, a été arrêté pour avoir discrédité les forces armées du pays après qu'un voisin a alerté la police à propos du message « gloire à l’Ukraine » défilant sur ses rideaux de LED. Plusieurs autres personnes en Russie ont décrit une expérience similaire le jour de l’an. Une enquête indépendante sur la cause du message a révélé que les rideaux concernés utilisaient tous le même firmware open source. Le tableau ravive le débat sur l’utilisation de l’open source comme outil de positionnement politique.

En effet, le code d’origine provenait d’Ukraine, d’après les rapports y relatifs. Quelqu'un a par la suite créé un fork traduit en russe. Selon le canal Telegram d'AlexGyver, le code a été ajouté au projet original le 18 octobre, puis, en décembre, les personnes qui ont créé le fork ont copié et collé la mise à jour responsable de l’affichage du message politique dans leur propre version. Tous ceux qui ont par la suite téléchargé le micrologiciel ont reçu ce « cadeau. » Les enquêtes en lien avec l’incident soulignent que le message était chiffré, caché à un éventuel lecteur du code et programmé pour s'afficher le premier jour de l'année exclusivement pour les résidents de Russie.

On the New Year's eve there were several cases in Russia where LED curtain lights running the FieryLedLamp software changed rolling text to "Slava Ukraini." This was caused by a hidden code. One man was charged with discrediting of the armed forceshttps://t.co/xaon6oTW2R pic.twitter.com/PCKYVlhP0F

— Oleg Shakirov (@shakirov2036) January 3, 2024

Ceci est similaire à d'autres attaques via des projets open source. La seule différence est que l'effet ne s'est pas limité au monde en ligne, mais qu'il était tout à fait visible sur le balcon d’un tiers. En effet, Le développeur à l'origine du populaire paquet npm "node-ipc" a procédé à la sortie d’une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements introduisaient un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur.

Le tableau n’avait pas manqué de soulever des questionnements : que penser de la sécurité de la chaîne d’approvisionnement des logiciels libres et open source ? Doit-on mélanger développement de logiciels et prises de positions politiques ? L’Open Source Initiative avait recommandé aux mainteneurs de se limiter à des contenus textuels de protestation. Néanmoins, le cas Notepad++ enseigne que même cette approche est susceptible de fragiliser l'open source.



L’Open Source Initiative est d’avis que la politisation et la militarisation de l’open source sont des nuisances pour le mouvement

Cette semaine marque un mois depuis le début de la guerre de Poutine contre l'Ukraine. Nous avions alors exposé la position de l'OSI - l'OSI condamne l'attaque de l'Ukraine par l'armée russe sous la direction de Vladimir Poutine - mais un nouveau développement a un impact direct sur la communauté open source et justifie un nouveau commentaire.

Le nouveau développement est que des mainteneurs en colère ont commencé à ajouter du code à un petit nombre de dépôts de logiciels libres pour protester contre la guerre. Une fois déployé, ce logiciel open source de protestation exprime l'opposition du mainteneur à l'invasion de l'Ukraine par le gouvernement russe. La plupart des logiciels de protestation affichent simplement des messages anti-guerre ou pro-ukrainiens lorsqu'ils sont exécutés. Il s'agit d'une forme de protestation non violente et créative qui peut être efficace.

Mais, dans au moins un cas - le module peacenotwar du paquet node-ipc - une mise à jour sabote les développeurs de npm avec un code destiné à effacer les données stockées en Russie et au Belarus. Dans un billet de blog du 16 mars sur le code malveillant, Liran Tal, de Snyk, a déclaré : " Cet incident de sécurité implique des actes destructeurs de corruption de fichiers sur le disque par un mainteneur et ses tentatives de cacher et de reformuler ce sabotage délibéré sous différentes formes. "

La "militarisation de l'open source", comme l'appelle Gerald Benischke dans son billet de blog du 16 mars, se fait sans discernement et les dommages collatéraux qu'elle provoque portent atteinte au travail des développeurs et des opérateurs uniquement parce qu'ils ont une adresse IP attribuée par la Russie. Elle nuit aux pacifistes autant qu'aux bellicistes - même les hackers éthiques utilisant un VPN pour travailler contre l'invasion peuvent subir des dommages.

Il est compréhensible que cette situation ait suscité l'indignation. Nous partageons cette indignation. La protestation est un élément important de la liberté d'expression qui doit être protégé. L'ouverture et l'inclusion sont les pierres angulaires de la culture de l'open source et les outils des communautés open source sont conçus pour un accès et une participation à l'échelle mondiale. Collectivement, la culture et les outils mêmes de l'open source - suivi des questions, systèmes de messagerie, dépôts - offrent un canal de signalisation unique qui peut contourner la censure imposée par les tyrans pour conserver leur pouvoir.

Au lieu de logiciels malveillants, une meilleure approche de la liberté d'expression serait d'utiliser les messages dans les journaux de commit pour envoyer des messages anti-propagande et de publier des trackers pour partager des informations précises à l'intérieur de la Russie sur ce qui se passe réellement en Ukraine aux mains de l'armée russe, pour citer deux possibilités évidentes. Il y a tellement de possibilités pour les communautés open source d'être créatives sans nuire à tous ceux qui chargent la mise à jour.

Nous encourageons les membres de la communauté à utiliser les libertés et les outils de l'open source de manière innovante et judicieuse pour informer les citoyens russes de la réalité des préjudices imposés aux citoyens ukrainiens et pour soutenir les efforts humanitaires et d'assistance en Ukraine et en faveur de ce pays.

À plus long terme, il est probable que cette militarisation de l’open source revienne à cracher dans le vent : les inconvénients du vandalisme des projets open source dépassent de loin les avantages possibles et le retour de flamme finira par nuire aux projets et aux contributeurs responsables. Par extension, c'est tout l'open source qui en pâtit. Utilisez votre pouvoir, oui, mais utilisez-le à bon escient.

Même les contenus textuels peuvent mettre à mal l’open source

C’est ce qu’enseigne le cas Notepad++. La mouture 7.8.1 disponible a fait couler beaucoup d’encre sur les réseaux sociaux en en raison de ce qu’elle porte le nom de baptême « Free Uyghur. » L’image sur le compte Twitter dédié à l’application donne quelques indices au travers des habituels mots clés qui accompagnent les publications : Chine, violation des droits de l’homme.



Le texte qui accompagne le logiciel sur le site dédié est quant à lui plus clair :

« Les droits de l'homme en Chine sont toujours un sujet très controversé. Depuis 2017, de nombreuses informations font état de détentions extrajudiciaires dans des "camps de rééducation", d'endoctrinement politique et parfois même de tortures de la population ouïghour. Selon les estimations de 2018, le nombre de détenus s'élèverait à des centaines de milliers.

Les Ouïghours ne sont pas d'origine ethnique chinoise, mais vivent dans la région dite autonome du Xinjiang en Chine. Le nom de la région suggère que les Ouïghours jouissent de l'autonomie. Mais tout comme le Tibet, le Xinjiang est une région de Chine étroitement contrôlée. Après le récent conflit du Xinjiang, Pékin a transformé le groupe ethnique ouïghour en un collectif terroriste. Cela a permis à Pékin de justifier sa transformation du Xinjiang en un État sous surveillance. L'islamophobie a également connu une hausse marquée dans toute la Chine.

Au moins 120 000 membres de la minorité ouïghour musulmane de Kashgar ont été détenus dans les camps de rééducation du Xinjiang qui visent à changer la pensée politique des détenus, leur identité et leurs convictions religieuses. Les rapports du Congrès mondial ouïghour soumis aux Nations Unies en juillet 2018 indiquent qu'un million d' Ouïghours sont actuellement détenus dans les camps de rééducation.

Le fait que de telles informations vous parviennent est déjà une action en soi. Vous pouvez à votre tour faire participer plus de personnes pour qu'ils se concentrent sur cette question et, espérons-le, exercent des pressions supplémentaires sur le gouvernement chinois pour qu'il mette fin à ses actions oppressives et à ses crimes contre le peuple ouïghour.

Le fait que vous venez d'apprendre de telles informations est déjà une action en soi. Mais vous pouvez faire participer plus de gens pour qu'ils se concentrent sur cette question et, espérons-le, exercer des pressions supplémentaires sur le gouvernement chinois pour qu'il mette fin à ses actions oppressives et à ses crimes contre le peuple ouïghour.

Les gens me diront encore une fois de ne pas mélanger la politique avec le logiciel/les affaires. Adopter un tel positionnement a certainement un impact sur la popularité de Notepad+++ même s'il faut noter que parler de politique est exactement ce que les entreprises dans cette filière essaient généralement d'éviter. Le problème, c'est que si nous ne nous occupons pas de politique, la politique s'occupera de nous. Nous pouvons choisir de ne pas agir quand les gens sont opprimés, mais quand arrivera notre tour, il sera trop tard et il n'y aura peut-être personne pour prendre position pour nous. Il n'est pas nécessaire d'être ouïghour ou musulman pour agir, il suffit d'être humain et d'avoir de l'empathie pour nos semblables. D'où la sortie de la présente version de Notepad++ avec...