Pour gérer vos consentements :
Categories: LogicielsOpen Source

Protestware : jusqu’où la pratique est-elle admissible ?

Développeurs et utilisateurs finaux, soyez vigilants à l’égard de l’open source et des logiciels libres. Tel est le sens d’une alerte que Sberbank aurait récemment émise. En toile de fond, une pratique qui a pris de l’ampleur avec le conflit ukrainien : le « protestware ».

Cette tendance se manifeste essentiellement par l’introduction, dans les logiciels en question, d’appels à la paix et autres messages de même teneur. La principale banque d’État russe les regroupe sous la bannière « contenus indésirables » et invite à s’en méfier. Mais elle craint surtout une autre pratique : l’introduction de code malveillant. On en a eu plusieurs exemples ces dernières semaines. Avec, en première ligne, le bibliothèque node-ipc, que son créateur a sabotée en plusieurs temps. Il y a intégré une fonction destructrice… conçue pour ne s’enclencher que sur les machines dont l’IP publique est localisée en Russie ou en Biélorussie.

Un coup de pouce pour la Russie ?

Un témoignage ressort du principal ticket ouvert pour réclamer la suppression du code malveillant. En l’occurrence, celui d’un prétendu membre d’une ONG américaine surveillant les atteintes aux droits de l’homme dans les pays de l’ex-URSS. Pour des raisons de censure d’internet, l’un de ses services web utilisés comme points de contact avec les citoyens était hébergé en Biélorussie.

Ce service faisait traditionnellement l’objet d’une sauvegarde par mois, le 20. Depuis le premier jour de l’invasion terrestre (24 février), il a fallu accélérer le rythme, le trafic ayant été « multiplié par plus de 50 ». Cela n’a pas empêché de perdre, affirme ledit membre, « plus de 30 000 messages et fichiers [attestant] de crimes de guerre commis en Ukraine par l’armée russe ». La cause ? L’enclenchement de la fameuse fonction d’effacement après une mise à jour inopinée de node-ipc sur un serveur de prod.

OpenBLAS : un autre protestware en puissance

« Vos petites magouilles nous ont fait plus de mal que Poutine ou Loukachenko ne le pourrait », résume l’intéressé. Et d’ajouter : « Notre avocat nous suggère de porter plainte au pénal. Ce que nous allons probablement faire. » Il n’est pas le seul à brandir les sanctions que le créateur de node-ipc pourrait risquer après son initiative fondée sur le seul critère de la localisation géographique.

Plus généralement, on craint, dans le milieu de l’open source, le contrecoup d’une telle initiative, en dépit d’une amorce de retour en arrière.
Retour en arrière, il y a eu pour OpenBLAS. Il y a quelques semaines, il fut question de supprimer, sur cette bibliothèque de calcul scientifique, la prise en charge d’une famille de processeurs. Nommément, les Elbrus 2000, des compatibles x64 que la Russie a conçus essentiellement à destination de son secteur militaire et du renseignement. La communauté était peu favorable à cette mesure. Laquelle a subitement perdu tout sens au moment où le support natif x86/AMD64 a débarqué sur les Elbrus 2000.

Photo d’illustration ©

Recent Posts

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

5 heures ago

Microsoft peine à convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

5 heures ago

PC, tablettes et smartphones : la dégringolade qui s’annonce

Tensions géopolitiques, inflation et difficultés d'approvisionnement impactent à la baisse le marché des terminaux. En…

6 heures ago

Le W3C dit non à Google et Mozilla sur l’identité décentralisée

La spécification DID (Decentralized Identifiers) passera au stade de recommandation W3C début août, en dépit…

7 heures ago

Silicon Data Awards 2022 – A vos candidatures !

La 1ère édition des Silicon Data Awards est lancée ! Rejoignez le concours avant le…

7 heures ago

Open Source : entre la SFC et GitHub, le torchon brûle

L'entrée en phase commerciale de Copilot ne passe pas. La Software Freedom Conservancy (SFC) a…

11 heures ago