Un développeur sabote son projet open source et paralyse des milliers d’applications

Un développeur bénévole a saboté deux projets open source auxquels il contribuait régulièrement, paralysant des milliers de projets qui en dépendaient. Au delà d’une blague ou d’un acte malveillant, cette grève 2.0 pointe la précarité du monde de l’open source. Début janvier 2022, un développeur open source a volontairement altéré des librairies informatiques, « faker.js » et « colors.js », sur lesquelles il travaillait, comme l’a repéré Bleeping Computer. Une librairie informatique est un ensemble de fonctionnalités que réutilisent les développeurs pour leurs différents projets afin de ne pas repartir de zéro. Ici, c’est une mauvaise surprise pour les milliers de projets qui dépendent de ces fichiers maintenant corrompus. Mais plus qu’une mauvaise blague ou un acte malveillant, ce sabotage résonne comme protestation contre la fragilité du monde de l’open source. LIBERTY et Aaron Swartz Les librairies sabotée poussent les applications qui les utilisent à indéfiniment afficher une suite nébuleuse de signes et de symboles, ainsi que trois lignes avec les mots : « LIBERTY LIBERTY LIBERTY ». Un module appelé « American Flag » a aussi été ajouté. D’après les informations de The Verge, color.js est de nouveau fonctionnelle après une mise à jour, mais faker.js serait toujours affectée. Il serait toutefois possible de contourner ce parasitage en retournant à la version 5.5.3 de la librairie. Don't upgrade "colors" package to 1.4.1 (keep using 1.4.0), and also "faker" package 6.6.6 corrupted too.#nodejs #npm #yarn pic.twitter.com/HfombpJ3pN— louloulfx (@louloulfx) January 10, 2022 L’histoire ne s’arrête pas là. Plus étrange encore, le fichier « Readme », document texte qui contient usuellement des informations sur les autres fichiers d’un répertoire ou d’une application, a été modifié dans faker.js pour devenir « Qu’est-il réellement arrivé avec Aaron Swartz ? » Swartz était un informaticien et hacktiviste américain qui a participé à la création de la licence Creative Commons, du flux RSS, et du réseau social Reddit. Son suicide en 2013, alors qu’il était poursuivi pour avoir volé des documents afin de les rendre publics alimente spéculations et théories du complot. Il semble que le titre du fichier renvoie à ce dernier point. Un rappel de la précarité de l’open source L’altération de ces fichiers ne ressemble pas à un poisson d’avril qui serait un peu trop en avance. Dans un message qu’on suppose railleur, publié le 8 janvier 2022 sur Github, Marak Squires, le développeur qui a modifié les deux projets, explique avoir pris connaissance du bug (qu’il a, pour rappel, lui même mis en place). Il poursuit : « sachez que nous sommes en train de travailler à résoudre ce problème et que nous allons avoir une solution rapidement ». Le tout accompagné d’une photo où l’acteur Danny Devito semble se retenir d’éclater de rire. L’auteur du sabotage semble en être assez fier // Source : Capture écran Numerama Certains éléments peuvent aider à comprendre les motivations de Marak Squires. Bleeping Computer a retrouvé un message du développeur publié en novembre 2020 sur Github. L’auteur explique alors ne plus vouloir continuer à travailler gratuitement pour les « fortune 500s » , c’est à dire les 500 plus grandes entreprises américaines, ni pour les autres entreprises plus petites. Le sabotage prend soudain des allures de grève 2.0 d’un développeur bénévole fatigué. Il faut toutefois rappeler qu’il ne s’agit pas de n’importe quel développeur. Plusieurs utilisateurs, sur Twitter et Reddit, ont pointé le passé trouble de Marak et dénoncé les théories du complot qu’il promeut. Une énième histoire qui rappelle la précarité de l’écosystème du logiciel libre, sur lequel repose pourtant l’ensemble du monde de l’informatique. Ces projets open sources peuvent par définition être utilisés par tout le monde gratuitement, y compris par des géants de la tech aux chiffres d’affaire mirobolant. Or ces projets existent uniquement car une poignée de bénévole y consacrent leurs temps, sans aucune rétribution. Pour rappel, la faille gravissime Log4shell touchait elle aussi une bibliothèque codée en open source par des volontaires qui se compte sur les doigts d’une main. Le monde de l’informatique est un château de cartes qui repose sur quelques projets open sources, alimentés par des bénévoles // Source : Nino Barbey pour Numerama Mise à jour 17h50 : ajout de précisions sur le profil trouble de Marak [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/