Pour gérer vos consentements :
Categories: LogicielsOpen Source

L’open source, modèle durable ? Un sabotage et des questions

Dans son état actuel, l’open source est-il durable ? La question n’a rien de nouveau. Elle touche, en particulier, au déséquilibre entre le poids de certains projets et leurs ressources. L’épisode Log4j l’a récemment remise sur la table. Avec, comme déclencheur, la découverte de plusieurs failles de sécurité dans cette bibliothèque JavaScript.

Selon toute vraisemblance, la présence de ces vulnérabilités était accidentelle. On ne peut pas en dire autant de ce qui s’est joué ces derniers jours avec deux autres composantes JS : Colors et Faker. La première permet d’intégrer les couleurs dans la console node.js. La seconde, de générer massivement de fausses données pour tester des applications. L’une et l’autre ont fait l’objet d’un sabotage… par leur auteur.

Des milliers d’applications dépendant de ces briques, l’initiative n’est pas passée inaperçue. Surtout sur Colors. Le 8 janvier y a été ajouté un module « drapeau américain ». Toutes les applications qui ont effectué la montée de version (1.4.44-liberty et 1.4.44-liberty2) se sont mises à afficher le contenu du module… de surcroît en boucle infinie.

Le framework AWS CDK fait partie des victimes collatérales.

Open source : le temps passe, les licences changent

Sur un ton ironique, le développeur de Colors a lui-même ouvert un ticket. Les versions problématiques ont depuis lors disparu de npm et de GitHub. Ce n’est pas le cas pour Faker ; tout du moins sur npm. Côté GitHub, l’intéressé a supprimé le code, en une série de commits datés du 5 janvier. Il a laissé un message en guise de readme (également publié sur npm) : « What really happened with Aaron Swartz ? », du nom de ce hacktiviste américain qui s’est suicidé en 2013 alors qu’il était poursuivi pour fraude électronique.

Ce sabotage intervient après plusieurs « coups de gueule » de son auteur. Objectif, dans les grandes lignes : dénoncer les entreprises qui se nourrissent de l’open source sans contribuer en retour. Avec parfois du name & shame, visant par exemple la scale-up américaine Retool. Il l’accuse d’avoir copié le code de Faker tout en s’appuyant – sans contrepartie – sur l’infrastructure CDN de la version payante (Faker Cloud, qu’il avait lancée pour tenter de monétiser son projet).

Dans l’absolu, Colors et Faker sont tous deux sous licence MIT. Ce qui laisse le droit de les exploiter sans retour. Des projets majeurs ont changé de licence pour écarter cette possibilité. Notamment MongoDB et Elastic, avec pour l’un et l’autre AWS en ligne de mire.

Illustration principale © agsandrew – Shutterstock

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

1 jour ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

1 jour ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

1 jour ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

1 jour ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

1 jour ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

2 jours ago