IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un paquet npm compromis par l'auteur efface les fichiers sur les ordinateurs russes et biélorusses lors de l'installation,
Pour protester contre l'invasion de l'Ukraine par la Russie

Le , par Bill Fassinou

67PARTAGES

16  0 
Le développeur à l'origine du populaire paquet npm "node-ipc" a expédié ce mois-ci une nouvelle version pour protester contre l'invasion de l'Ukraine par la Russie. Mais les changements ont introduit un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur. Cet acte de sabotage suscite de nouvelles inquiétudes quant à la sécurité de la chaîne d'approvisionnement des logiciels et des logiciels libres.

"node-ipc" est un module Node.js pour "la communication interprocessus locale et distante" avec un support complet pour Linux, Mac et Windows. Il supporte également toutes les formes de communication par socket, des sockets bas niveau d'Unix et de Windows aux sockets UDP et sécurisés TLS et TCP. Avec plus de 1,1 million de téléchargements hebdomadaires, node-ipc est un paquet important utilisé par des bibliothèques majeures comme Vue.js CLI. Cependant, le développe de node-ipc, Brandon Nozaki Miller, a saboté le paquet pour nuire aux utilisateurs se trouvant en Russie ou en Biélorussie, en vue de militer contre l'invasion russe en Ukraine.



Tout a commencé le 8 mars lorsque Miller, plus connu sous le pseudonyme RIAEvangelist, a publié deux paquets open source appelés "peacenotwar" et "oneday-test" sur npm et GitHub. Les paquets semblent avoir été créés à l'origine par Miller comme un moyen de protestation pacifique, car ils ajoutent principalement un "message de paix" sur le bureau de tout utilisateur qui installe les paquets. « Ce code sert d'exemple non destructeur de la raison pour laquelle le contrôle de vos modules Node.js est important. Il sert également de protestation non violente contre l'agression de la Russie qui menace le monde en ce moment », explique RIAEvangelist.

Mais le chaos s'est installé lorsque certaines versions npm de node-ipc ont été vues lançant une charge utile destructrice vers toutes les données et écrasant tous les fichiers des utilisateurs installant le paquet. Fait intéressant, le code malveillant lisait l'adresse IP externe du système et ne supprimait que les fichiers des utilisateurs basés en Russie et en Biélorussie. Le code malveillant présent dans node-ipc, en particulier dans le fichier "ssl-geospec.js", contient des chaînes codées en base64 et des techniques d'obscurcissement pour masquer son véritable objectif. Snyk, une startup spécialisée en cybersécurité, a suivi et documenté les faits.

Une copie simplifiée du code fournie par les chercheurs de Snyk montre que pour les utilisateurs basés en Russie ou en Biélorussie, le code réécrit le contenu de tous les fichiers présents sur un système avec un émoji de cœur, ce qui a pour effet de supprimer toutes les données sur un système. Mais ce n'est pas tout. Les chercheurs ont rapporté que comme les versions 9.2.2, 11.0.0 et les versions supérieures à 11.0.0 de node-ipc intègrent le module "peacenotwar", les utilisateurs concernés ont vu des fichiers 'WITH-LOVE-FROM-AMERICA.txt' apparaître sur leur bureau avec des messages de 'paix' (comme le montre l'image ci-dessous).

Selon les chercheurs, cet acte représente un réel danger pour les utilisateurs de node-ipc basés dans ces régions. « À ce stade, un abus très clair et un incident critique de sécurité de la chaîne d'approvisionnement se produiront pour tout système sur lequel ce paquet npm sera appelé, s'il correspond à une géolocalisation de la Russie ou de la Biélorussie », écrit Liran Tal, directeur de la défense des développeurs chez Snyk dans un billet de blogue. En outre, cet acte de sabotage a déclenché une panique générale dans la communauté du framework JavaScript de développement front-end Vue.js, qui utilise également node-ipc comme dépendance.



Avant cet incident, Vue.js n'épinglait pas les versions de la dépendance node-ipc à une version sûre et était configuré pour récupérer les dernières versions mineures et correctives. En tant que tels, les utilisateurs de Vue.js CLI ont lancé un appel urgent aux mainteneurs du projet afin qu'ils épinglent la dépendance node-ipc à une version sûre, après que certains aient été surpris. Et, comme l'ont observé les chercheurs, Vue.js n'est pas le seul projet open source à être touché par ce sabotage. Ainsi, ils avertissent les développeurs et les autres responsables de projets de s'assurer qu'ils ne sont pas sur une version malveillante de node-ipc.

Les chercheurs de Snyk estiment que les versions 10.1.1 et 10.1.2 de node-ipc qui causent des dommages flagrants au système ont été retirées par npm dans les 24 heures suivant leur publication. Cependant, les versions 11.0.0 et supérieures de node-ipc restent disponibles sur npm et ils contiennent toujours le module "peacenotwar" qui crée les fichiers 'WITH-LOVE-FROM-AMERICA.txt' mentionnés ci-dessus sur le bureau. En tant que tel, si votre application est construite en utilisant la bibliothèque node-ipc, assurez-vous de définir la dépendance sur une version sûre telle que 9.2.1 (il s'avère que 9.2.2 n'est pas innocent non plus).

Il s'agit du deuxième incident majeur de protestation d'un développeur open source cette année, après le sabotage des paquets "colors" et "fakers" en janvier par leur développeur. Dans le cas de "colors", son développeur Marak Squires a suscité des réactions mitigées de la part de la communauté open source parce que sa manière de protester impliquait de casser des milliers d'applications en y introduisant des boucles infinies. Cependant, l'action de RIAEvangelist, qui maintient plus de 40 paquets sur npm, a suscité de vives critiques pour avoir dépassé la simple "protestation pacifique".

Il a déployé activement des charges utiles destructrices dans une bibliothèque populaire sans aucun avertissement aux utilisateurs honnêtes. Un utilisateur de GitHub a qualifié ce comportement d'"énorme dommage" pour la crédibilité de l'ensemble de la communauté open source. « Ce comportement est au-delà du f**** up. Bien sûr, la guerre est mauvaise, mais cela ne justifie pas ce comportement (par exemple, supprimer tous les fichiers pour les utilisateurs de Russie/Biélorussie et créer un fichier étrange dans le dossier du bureau). F*** you, allez en enfer. Vous venez de ruiner avec succès la communauté open source », a déclaré un autre.



« Tu es content maintenant @RIAEvangelist ? », a-t-il demandé. Pour d'autres, les développeurs devraient trouver d'autres terrains de protestation et arrêter de nuire à la réputation de l'open source. « Même si l'acte délibéré et dangereux du mainteneur RIAEvangelist sera perçu par certains comme un acte légitime de protestation. Comment cela se répercute-t-il sur la réputation future du mainteneur et sur sa place dans la communauté des développeurs ? », demande Tal de Snyk.

D'après Tal, cet incident de sécurité implique des actes destructeurs de corruption de fichiers sur le disque par un mainteneur et ses tentatives de cacher et de reformuler ce sabotage délibéré sous différentes formes. Bien qu'il s'agisse d'une attaque aux motivations contestataires, elle met en lumière un problème plus large auquel est confrontée la chaîne d'approvisionnement des logiciels : les dépendances transitives de votre code peuvent avoir un impact énorme sur votre sécurité.

Les chercheurs de Snyk avertissent que les développeurs doivent faire preuve de prudence avant d'utiliser node-ipc dans leurs applications, car il n'y a aucune garantie que les futures versions de cette bibliothèque ou de toute autre bibliothèque publiée par RIAEvangelist seront sûres. L'épinglage de vos dépendances à une version de confiance est l'un des moyens de protéger vos applications contre de telles attaques de la chaîne d'approvisionnement.

Sources : Snyk, discussions sur node-ipc (1, 2), les paquets npm maintenus par RIAEvangelist, le code malveillant

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des agissements du mainteneur du paquet npm node-ipc ? Est-ce bien ?
Même s'il s'agit de son œuvre, a-t-il le droit de saboter un paquet dont dépendent des milliers de projets ?
Selon vous, quels impacts ces sabotages pourraient avoir sur la communauté open source et les logiciels libres ?

Voir aussi

Un dev open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets, il avait précédemment demandé à être rémunéré pour son travail

La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

Environ 26 % de toutes les menaces JavaScript malveillantes sont obfusquées, selon une étude d'Akamai

Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels, la popularité des paquets en fait de parfaits vecteurs d'attaques

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de TotoParis
Membre éprouvé https://www.developpez.com
Le 17/03/2022 à 21:28
Je ne peux que lancer un appel au BOYCOTT international de ce logiciel. Et du type en question. S'il l'a fait une fois, il recommencera dans la futur, selon son sentiment, ses émotions. Son comportement est inadmissible, d'autant que dans les pays visés, il y a plein de monde contre cette guerre d'Ukraine ! Faut vraiment avoir un pois-chiche à la place du cerveau pour agir ainsi.
26  3 
Avatar de Doksuri
Expert confirmé https://www.developpez.com
Le 18/03/2022 à 9:24
moi qui considerait l'open source comme le dernier lieu "encore sur"...

qu'on fasse passer un message une fois de temps en temps dans un commit ou un log, pourquoi pas... mais la ca va trop loin...

un petit "return false" a la 1ere ligne aurait suffit je pense

avant, je faisais les mises a jour de projets "open source" en aveugle... maintenant, je vais attendre quelques semaines pour m'assurer qu'il n'y a pas de retours negatifs
22  1 
Avatar de daerlnaxe
Membre confirmé https://www.developpez.com
Le 18/03/2022 à 8:12
Citation Envoyé par kain_tn Voir le message
Ce n'est pas "bien", non (enfin, la notion de bien est relative, mais son action ne colle pas avec mon éthique personnelle en tous cas)..

C'est un comportement de malware. C'est quoi l'étape suivante suivante? Chiffrer le disques des utilisateurs Russes et leur demander une rançon comme un vulgaire ransomware? Bon, le gars ne cherche pas non plus à faire des dégâts avec ses émojis mais ça reste du sabotage.

Une exagération absurde qui me vient comme ça à l'esprit est la suivante: si cette personne avait été chasseur de métier plutôt que développeur, elle aurait tiré sur le peuple Russe pour protester? Oui, c'est clairement exagéré, mais c'est ma façon de montrer que je considère son geste comme inutile et bête.

Oui, ça reste son droit le plus strict.
Il ne cherche pas à faire du dégât... t'as tes documents importants, tes photos de famille, et tu te retrouves avec plus rien... Chez moi ça s'appelle faire du dégât et c'est une pourriture. Si on avait fait ça à l'encontre d'autres pays les gens hurleraient au racisme. J'ajoute que c'est du code qui va nous revenir tôt ou tard dans les gencives... Les gens sont complètement timbrés en ce moment.

Ce mec doit simplement être poursuivi et pourrir à l'ombre un moment, il entache très clairement la communauté de l'open source et du libre. C'est à cause de ce genre d'abrutis d'ailleurs qu'on se retrouve avec une évolution des machines, des certificats et j'en passe... Avec des machines qui tournent très bien encore qui deviennent obsolètes sur le plan software. Il faut regarder le crime par tous ses angles, ce type d'action est déjà criminel pour les gens qui sont impactés mais le cercle est élargi rapidement à cause des conséquences, et s'élargit encore quand ça amène du coup une obsolescence software pour répondre aux critères des nouveaux OS qui intègrent d'avantage de sécurité.
15  0 
Avatar de leguminator
Membre à l'essai https://www.developpez.com
Le 18/03/2022 à 11:13
Je vois la communauté Open Source avec un état d'esprit, un peu comme les médecins avec leur maxime "d'abord ne pas nuire" : cette dernière pourrait très bien s'appliquer à l'Open Source, tout du moins de mon point de vue.
Si le type veut protester, eh bien qu'il retire son package ou en change la licence s'il le veut.
Mais introduire du code malveillant est pour moi la limite à ne pas franchir !

Enfin vouloir punir la totalité des Russes et Biélorusses alors que certains ne soutiennent pas la guerre (il y a eu des manifestations réprimandées me semble-t-il) ne résoudra malheureusement pas les choses, avec au contraire le risque de diffuser plus largement un sentiment d'animosité. Triste époque...
14  0 
Avatar de Patrick Ruiz
Chroniqueur Actualités https://www.developpez.com
Le 25/03/2022 à 10:05
« Les modules de protestation open source destructeurs nuisent au mouvement open source dans son ensemble », lance l’Open Source Initiative
Dans le contexte de l’opération militaire russe en Ukraine

Le développeur à l'origine du populaire paquet npm "node-ipc" a sorti une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements introduisent un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur. Le tableau soulève des questionnements : que penser de la sécurité de la chaîne d’approvisionnement des logiciels libres et open source ? Doit-on mélanger développement de logiciels et prises de positions politiques ? L’Open Source Initiative recommande aux mainteneurs de se limiter à des contenus textuels de protestation. Le cas Notepad++ enseigne que même cette approche est susceptible de fragiliser l'open source.

L’Open Source Initiative (OSI) réitère sa position sur l’opération militaire russe en Ukraine : l’organisation condamne. Elle attire cependant l’attention sur les modules de protestation open source destructeurs qui « nuisent au mouvement open source dans son ensemble. » L’OSI recommande aux mainteneurs de projet open source de se limiter à des contenus textuels de protestation.

L’intégralité du commentaire de l’OSI

Cette semaine marque un mois depuis le début de la guerre de Poutine contre l'Ukraine. Nous avions alors exposé la position de l'OSI - l'OSI condamne l'attaque de l'Ukraine par l'armée russe sous la direction de Vladimir Poutine - mais un nouveau développement a un impact direct sur la communauté open source et justifie un nouveau commentaire.

Le nouveau développement est que des mainteneurs en colère ont commencé à ajouter du code à un petit nombre de dépôts de logiciels libres pour protester contre la guerre. Une fois déployé, ce logiciel open source de protestation exprime l'opposition du mainteneur à l'invasion de l'Ukraine par le gouvernement russe. La plupart des logiciels de protestation affichent simplement des messages anti-guerre ou pro-ukrainiens lorsqu'ils sont exécutés. Il s'agit d'une forme de protestation non violente et créative qui peut être efficace.

Mais, dans au moins un cas - le module peacenotwar du paquet node-ipc - une mise à jour sabote les développeurs de npm avec un code destiné à effacer les données stockées en Russie et au Belarus. Dans un billet de blog du 16 mars sur le code malveillant, Liran Tal, de Snyk, a déclaré : " Cet incident de sécurité implique des actes destructeurs de corruption de fichiers sur le disque par un mainteneur et ses tentatives de cacher et de reformuler ce sabotage délibéré sous différentes formes. "

La "militarisation de l'open source", comme l'appelle Gerald Benischke dans son billet de blog du 16 mars, se fait sans discernement et les dommages collatéraux qu'elle provoque portent atteinte au travail des développeurs et des opérateurs uniquement parce qu'ils ont une adresse IP attribuée par la Russie. Elle nuit aux pacifistes autant qu'aux bellicistes - même les hackers éthiques utilisant un VPN pour travailler contre l'invasion peuvent subir des dommages.

Il est compréhensible que cette situation ait suscité l'indignation. Nous partageons cette indignation. La protestation est un élément important de la liberté d'expression qui doit être protégé. L'ouverture et l'inclusion sont les pierres angulaires de la culture de l'open source et les outils des communautés open source sont conçus pour un accès et une participation à l'échelle mondiale. Collectivement, la culture et les outils mêmes de l'open source - suivi des questions, systèmes de messagerie, dépôts - offrent un canal de signalisation unique qui peut contourner la censure imposée par les tyrans pour conserver leur pouvoir.

Au lieu de logiciels malveillants, une meilleure approche de la liberté d'expression serait d'utiliser les messages dans les journaux de commit pour envoyer des messages anti-propagande et de publier des trackers pour partager des informations précises à l'intérieur de la Russie sur ce qui se passe réellement en Ukraine aux mains de l'armée russe, pour citer deux possibilités évidentes. Il y a tellement de possibilités pour les communautés open source d'être créatives sans nuire à tous ceux qui chargent la mise à jour.

Nous encourageons les membres de la communauté à utiliser les libertés et les outils de l'open source de manière innovante et judicieuse pour informer les citoyens russes de la réalité des préjudices imposés aux citoyens ukrainiens et pour soutenir les efforts humanitaires et d'assistance en Ukraine et en faveur de ce pays.

À plus long terme, il est probable que cette militarisation de l’open source revienne à cracher dans le vent : les inconvénients du vandalisme des projets open source dépassent de loin les avantages possibles et le retour de flamme finira par nuire aux projets et aux contributeurs responsables. Par extension, c'est tout l'open source qui en pâtit. Utilisez votre pouvoir, oui, mais utilisez-le à bon escient.

Même les contenus textuels peuvent mettre à mal l’open source

C’est ce qu’enseigne le cas Notepad++. La mouture 7.8.1 disponible a fait coulé beaucoup d’encre sur les réseaux sociaux en en raison de ce qu’elle porte le nom de baptême « Free Uyghur. » L’image sur le compte Twitter dédié à l’application donne quelques indices au travers des habituels mots clés qui accompagnent les publications : Chine, violation des droits de l’homme.


Le texte qui accompagne le logiciel sur le site dédié est quant à lui plus clair :

« Les droits de l'homme en Chine sont toujours un sujet très controversé. Depuis 2017, de nombreuses informations font état de détentions extrajudiciaires dans des "camps de rééducation", d'endoctrinement politique et parfois même de tortures de la population ouïghour. Selon les estimations de 2018, le nombre de détenus s'élèverait à des centaines de milliers.

Les Ouïghours ne sont pas d'origine ethnique chinoise, mais vivent dans la région dite autonome du Xinjiang en Chine. Le nom de la région suggère que les Ouïghours jouissent de l'autonomie. Mais tout comme le Tibet, le Xinjiang est une région de Chine étroitement contrôlée. Après le récent conflit du Xinjiang, Pékin a transformé le groupe ethnique ouïghour en un collectif terroriste. Cela a permis à Pékin de justifier sa transformation du Xinjiang en un État sous surveillance. L'islamophobie a également connu une hausse marquée dans toute la Chine.

Au moins 120 000 membres de la minorité ouïghour musulmane de Kashgar ont été détenus dans les camps de rééducation du Xinjiang qui visent à changer la pensée politique des détenus, leur identité et leurs convictions religieuses. Les rapports du Congrès mondial ouïghour soumis aux Nations Unies en juillet 2018 indiquent qu'un million d' Ouïghours sont actuellement détenus dans les camps de rééducation.

Le fait que de telles informations vous parviennent est déjà une action en soi. Vous pouvez à votre tour faire participer plus de personnes pour qu'ils se concentrent sur cette question et, espérons-le, exercent des pressions supplémentaires sur le gouvernement chinois pour qu'il mette fin à ses actions oppressives et à ses crimes contre le peuple ouïghour.

Le fait que vous venez d'apprendre de telles informations est déjà une action en soi. Mais vous pouvez faire participer plus de gens pour qu'ils se concentrent sur cette question et, espérons-le, exercer des pressions supplémentaires sur le gouvernement chinois pour qu'il mette fin à ses actions oppressives et à ses crimes contre le peuple ouïghour.

Les gens me diront encore une fois de ne pas mélanger la politique avec le logiciel/les affaires. Adopter un tel positionnement a certainement un impact sur la popularité de Notepad+++ même s'il faut noter que parler de politique est exactement ce que les entreprises dans cette filière essaient généralement d'éviter. Le problème, c'est que si nous ne nous occupons pas de politique, la politique s'occupera de nous. Nous pouvons choisir de ne pas agir quand les gens sont opprimés, mais quand arrivera notre tour, il sera trop tard et il n'y aura peut-être personne pour prendre position pour nous. Il n'est pas nécessaire d'être ouïghour ou musulman pour agir, il suffit d'être humain et d'avoir de l'empathie pour nos semblables. D'où la sortie de la présente version de Notepad++ avec pour nom de baptême Free Uyghur. »

Une prise de position politique qui divise

Sur GitHub, les réactions des internautes chinois s’apparentent à un véritable raz de marée avec, dans l’ensemble, un dénominateur commun : beaucoup d’hostilité vis-à-vis de l’éditeur de l’application au motif de ce que sa prise de position s’appuie sur de fausses nouvelles propagées par des médias occidentaux au sujet de la minorité ouïghour.

« Les nouvelles concernant la persécution des Ouïghours par la Chine sont un mensonge inventé par des médias tels que la BBC et CNN. Si vous n'êtes pas allé en Chine pour en faire l'expérience vous-même, vous utiliserez le ouï-dire comme conclusion. C'est une paralysie de la liberté humaine et de la démocratie. Le Xinjiang est confronté à la menace du terrorisme. Est-ce votre soutien à ces actes terroristes ? Le Xinjiang a fait beaucoup d'efforts pour protéger les gens du terrorisme. N'aidez-vous pas les gens à se tenir à l'écart de la menace d'une vie en danger ? Lutter contre le terrorisme, c'est protéger les droits de l'homme.

En tant qu'excellent logiciel dans le domaine technique, vous ne devriez pas toucher à des sujets qui sont politiquement incorrects. Pouvez-vous publier des propos racistes aux États-Unis ? Pouvez-vous louer les nazis en Allemagne ? La politique ne devrait pas envahir le monde de la technologie. Je suis très déçu que vous preniez les fake news pour des faits », lit-on.

C’est sur Twitter que Don Ho a récolté le plus de soutiens dans ce qui s’apparente désormais à une rixe entre Occidentaux et Chinois.


« Quand vous êtes attaqué par les bots et les wumao, cela signifie que vous avez fait ce qu'il fallait. Votre courage de soutenir la juste cause doit être salué. J'attends avec impatience la prochaine édition avec pour nom de baptême Stand with Hong Kong », a lancé un internaute.

Des élans de nationalisme font surface autour de l’open source

La Chine a officialisé une alternative à GitHub – le service web américain d’hébergement et de gestion de logiciels – au cours de l’année 2020. Gitee compte 9 ans d’existence en Chine. Une sortie d’un responsable de Huawei en lien avec ce développement en dit long sur l’objectif : « Si la Chine ne dispose pas de sa propre communauté open source pour maintenir et gérer les projets, notre industrie nationale du logiciel sera très vulnérable à des facteurs incontrôlables. » L’intervention de Wang Chenglu pointe du doigt les sanctions à répétition des autorités américaines.

Ces mesures peuvent à juste titre être perçues comme une extension de celles qui découlent de la guerre commerciale entre les USA et la Chine. En effet, à mi-parcours du mois de mai 2019, le président Donald Trump a signé un décret qui établit les bases pour empêcher des entreprises de télécommunications chinoises telles que Huawei de vendre du matériel aux États-Unis. La mesure visait à neutraliser la capacité de la Chine à compromettre les réseaux sans fil et les systèmes informatiques américains de la prochaine génération. L’ordonnance interdit l’achat ou l’utilisation de toute technologie de communication produite par des entités contrôlées par « un adversaire étranger » susceptible de saboter des systèmes de communication américains ou de créer des « effets catastrophiques » sur l’infrastructure américaine.

Y faisant suite, le ministère américain du Commerce a pris une mesure connexe qui interdit aux entreprises américaines de vendre des composants et des logiciels à Huawei et à 70 de ses affiliés (désormais inscrits sur la liste américaine d’entités à bannir) sans autorisation. Avec le verrouillage des comptes d’utilisateurs de Crimée et d’Iran, on en découvre une nouvelle facette.

L’officialisation de Gitee a un bon côté : elle vient créer de la concurrence dans un secteur des services en ligne dominé par les plateformes US. Elle n’échappe cependant pas à la dualité, la Chine étant connue comme le pays où la fiction Big Brother de 1984 tend à devenir réalité. Avec ses 10 millions de dépôts, les autorités chinoises positionnent déjà Gitee comme deuxième plus grosse plateforme d’hébergement et de gestion de projets logiciels open source. Les murs ne cessent de s’élever de part et d’autre et avec eux le risque que l’on s’achemine de plus en plus vers la fin du rêve d’Internet : communication sans frontières et connaissance pour tous.

Source : OSI

Et vous ?

Est-ce une bonne idée de mêler développement de logiciels et prises de positions politiques ?
L’open source doit-il souffrir des politiques des pays ? Est-il possible qu’il en soit autrement ?
Doit-on encourager la multiplication d’initiatives comme Gitee ?

Voir aussi :

Un dev open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets, il avait précédemment demandé à être rémunéré pour son travail

La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

Environ 26 % de toutes les menaces JavaScript malveillantes sont obfusquées, selon une étude d'Akamai

Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels, la popularité des paquets en fait de parfaits vecteurs d'attaques
15  2 
Avatar de kain_tn
Expert confirmé https://www.developpez.com
Le 17/03/2022 à 18:40
Citation Envoyé par Bill Fassinou Voir le message

Que pensez-vous des agissements du mainteneur du paquet npm node-ipc ? Est-ce bien ?
Ce n'est pas "bien", non (enfin, la notion de bien est relative, mais son action ne colle pas avec mon éthique personnelle en tous cas)..

C'est un comportement de malware. C'est quoi l'étape suivante suivante? Chiffrer le disques des utilisateurs Russes et leur demander une rançon comme un vulgaire ransomware? Bon, le gars ne cherche pas non plus à faire des dégâts avec ses émojis mais ça reste du sabotage.

Une exagération absurde qui me vient comme ça à l'esprit est la suivante: si cette personne avait été chasseur de métier plutôt que développeur, elle aurait tiré sur le peuple Russe pour protester? Oui, c'est clairement exagéré, mais c'est ma façon de montrer que je considère son geste comme inutile et bête.

Citation Envoyé par Bill Fassinou Voir le message

Même s'il s'agit de son œuvre, a-t-il le droit de saboter un paquet dont dépendent des milliers de projets ?
Oui, ça reste son droit le plus strict.
11  1 
Avatar de BleAcheD
Membre averti https://www.developpez.com
Le 18/03/2022 à 11:49
Les Russes se font cancel et doivent supporter le Kremlin/Putin ET les occidentaux qui leur souhaite le pire. ça n'est pas du niveau de se prendre un bombardement / devoir quitter son pays mais je ne pense pas que ça soit très intelligent.
On arrête même de vendre un parfum "Rose de Russie" parce qu'il y a Russie dans le nom... c'est dire le niveau.
9  0 
Avatar de kain_tn
Expert confirmé https://www.developpez.com
Le 12/04/2022 à 15:59
Ces andouilles sont juste en train de tuer npm. À ce train là, plus personne ne va avoir confiance en ces dépôts.
9  0 
Avatar de coolspot
Membre éprouvé https://www.developpez.com
Le 12/04/2022 à 16:42
Encore des guignols qui veulent exprimer leur idéologie dans un endroit non prévu pour. Ils vont juste ridiculiser npm et le logiciel libre en regle générale alors que tu les a jamais entendu faire leur cirque pour les 500k enfant mort bombardé par les USA en Irak ou bien le conflit au Yemen depuis x années

Ces débile profond ne savaient meme pas ou se situer l'Ukraine sur une map ya 1 mois et demi mais ils ont trouvé une nouvelle cause à leur vie vide de sens et s’engouffre dedans

Enfin bon entre ce genre d'idiotie et les recente affaire de paquet vérolé de NPM, c'est composer qui va prendre son envol a ce rythme.
9  0 
Avatar de Bruno
Chroniqueur Actualités https://www.developpez.com
Le 21/03/2022 à 11:21
Les victimes technologiques de la guerre de la Russie en Ukraine : l'open source et le cloud,
la licence Open Source est assez claire : pas de discrimination contre des personnes ou des groupes

Tetiana, 43 ans, Mykyta, 18 ans, Alisa, 9 ans, la liste des victimes civils ne cessent de s’alloudir en Ukraine. Trois semaines après le début de l’invasion russe en Ukraine, au moins 726 civils dont 52 enfants ont été tués et plus de 1 250 blessés, selon le dernier décompte de l’ONU du 17 mars. Derrière ces chiffres accablants et le flot incessants d’images des combats, il existe également « des victimes technologiques » de la guerre en Ukraine. Selon Gerald Benischke, consultant en ingénierie logicielle, l'open source et le cloud seraient deux de ses nombreuses victimes.

Dans un article intitulé On the Weaponisation of Open Source, Gerald Benischke examine comment l'invasion de l'Ukraine par la Russie s'est répercutée sur les domaines du développement logiciel, avec des conséquences inattendues. Benischke s'intéresse en particulier à la décision de MongoDB de couper ses services en Russie, au changement destructeur d'une bibliothèque de nœuds qui a supprimé des fichiers sur des IP russes, et même à un changement de code/licence dans un module terraform communautaire pour affirmer que Poutine est une « tête de nœud ».


MongoDB coupe les clients russes et déclare : « Nous avons le regret de vous informer qu'en raison des nouvelles sanctions américaines et internationales à l'encontre de la Russie et de la Biélorussie, votre atlas MongoDB, environnement......, sera résilié. Si vous avez des données importantes, nous vous conseillons de télécharger des sauvegardes immédiatement avant qu'elles ne deviennent définitivement irrécupérables », déclare MongoDB.

« Vous vous demandez à quoi pourrait ressembler votre système informatique si d'autres fournisseurs IaaS, PaaS et SaaS décidaient de vous fermer. Et si AWS décidait de fermer votre compte ? Dans quelle mesure votre dépendance à l'égard du cloud est-elle critique pour votre entreprise ? », interroge Oleg Brodt, Directeur de l'innovation, Cyber@Ben-Gurion University.


Notons que MongoDB est un système de gestion de bases de données orienté documents, répartissable sur un nombre quelconque d'ordinateurs et ne nécessitant pas de schéma prédéfini des données. Il permet de manipuler des objets structurés au format BSON (JSON binaire), sans schéma prédéterminé. Il est écrit en C++. Le serveur et les outils sont distribués sous licence SSPL.

Selon certains témoignages, MongoDB est une technologie qui change la vie de nombreux développeurs, leur permettant de créer des applications plus rapidement qu'avec des bases de données relationnelles. Cependant, MongoDB a abandonné ses racines Open Source, en changeant la licence en SSPL, ce qui le rend inutilisable pour de nombreux projets Open Source et commerciaux.

Selon le consultant en ingénierie logicielle Gerald Benischke, il y aurait un peu d'incohérence dans le secteur technologique pour savoir si une offre SaaS et le paiement d'un abonnement équivalent à une nouvelle vente, mais je pense que c'est dans l'esprit des sanctions, rendre difficile l'activité des entreprises russes.

Mongo est une entité commerciale et, en tant que telle, elle peut choisir à qui vendre ses produits. Bien que Benischke déclare son accord avec la décision de MongoDB de se couper des clients russes, le consultant indique que, « cela pose une question intéressante ». « Qu'arriverait-il à votre organisation si un fournisseur de services disparaissait ? Je ne pense pas que cela signifie que nous devions tous nous précipiter pour construire nos propres centres de données, écrire nos propres bases de données et exécuter tous nos propres services.

« La simplification et l'optimisation de l'utilisation du logiciel en tant que service ne doivent pas être négligées. Toutefois, il n'est pas inutile d'être prudent et de procéder à une évaluation des risques pour savoir ce qui se passerait si le service disparaissait. Encore une fois, je ne pense pas que cela doive être considéré comme une incitation à tout exécuter en multi-cloud, car je pense que l'augmentation globale de la complexité réduirait en fait la fiabilité. »

Le développeur à l'origine du populaire paquet npm node-ipc a expédié ce mois-ci une nouvelle version pour protester contre l'invasion de l'Ukraine par la Russie. Mais les changements ont introduit un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur. Néanmoins, cet acte de sabotage a suscité de nouvelles inquiétudes quant à la sécurité de la chaîne d'approvisionnement des logiciels et des logiciels libres.

Notons que, node-ipc est un module Node.js pour « la communication interprocessus locale et distante » avec un support complet pour Linux, Mac et Windows. Il supporte également toutes les formes de communication par socket, des sockets bas niveau d'Unix et de Windows aux sockets UDP et sécurisés TLS et TCP. Avec plus de 1,1 million de téléchargements hebdomadaires, node-ipc est un paquet important utilisé par des bibliothèques majeures comme Vue.js CLI.

Cependant, le développeur de node-ipc, Brandon Nozaki Miller, a saboté le paquet pour nuire aux utilisateurs se trouvant en Russie ou en Biélorussie, en vue de militer contre l'invasion russe en Ukraine. Sous le nom de « protestware », la dépendance peacenotwar a été injectée dans des dépendances qui affectaient vuejs cli (et unreal unity selon certains rapports). peacenotwar vérifie l'adresse IP de l'ordinateur sur lequel il s'exécute et, s'il est considéré comme se trouvant en Russie, supprime tous les fichiers.

« Cette histoire est un peu plus sinistre », déclare Benischke. Maintenant, les attaques de la chaîne d'approvisionnement contre les modules de nœuds n'ont rien de nouveau. Il ne se passe pas beaucoup de mois sans que l'on entende parler parler d'un module de nœud détourné qui installe des portes dérobées ou des cryptomonnaies. « Je pense que l'on peut tous se mettre d’accord pour dire que ces attaques sont malveillantes et que les actions sont celles de criminels. Ces actions doivent être condamnées, d'autant plus que le fait de "supprimer des fichiers en fonction des adresses IP de géofencing" risque de provoquer des dommages collatéraux. »

« Je ne sais pas quelle est la part de vérité dans la question soulevée sur le dépôt peacenotwar selon laquelle une ONG américaine a perdu 30 000 fichiers documentant les crimes de guerre russes - mais il faut se rappeler que la géolocalisation n'est pas toujours juste », précise le consultant en ingénierie informatique.
Des preuves anecdotiques d'erreurs d'identification d'adresses IP font de cette arme une arme très aveugle. On pourrait réfléchir au fait que si les bombardements massifs de cibles civiles par les forces armées russes doivent être abhorrés, l'effacement global des fichiers dans la plage d'adresses IP de la Russie n'est pas exactement une action ciblée.

« Enfin, j'aimerais revenir sur une histoire selon laquelle les modules terraform de la communauté pour AWS ont été mis à jour pour inclure des déclarations politiques », déclare Benischke. Il y aurait d'abord eu une modification de la licence « Conditions d'utilisation supplémentaires pour les utilisateurs de Russie et du Belarus ».

En utilisant le code fourni dans ce dépôt, vous acceptez ce qui suit :

  • La Russie a illégalement annexé la Crimée en 2014 et a apporté la guerre dans le Donbas suivie d'une invasion à grande échelle de l'Ukraine en 2022 ;
  • La Russie a apporté de la tristesse et des dévastations à des millions d'Ukrainiens, tué des centaines d'innocents, endommagé des milliers de bâtiments et forcé plusieurs millions de personnes à fuir ;
  • Poutine khuylo !
En outre, cette acceptation a été incluse dans le code :

Code : Sélectionner tout
1
2
3
4
5
variable "putin_khuylo" {
   description = "Do you agree that Putin doesn't respect Ukrainian sovereignty and territorial integrity? More info: https://en.wikipedia.org/wiki/Putin_khuylo!"
   type        = bool
   default     = true
}

En mettant la variable à false, le module de terraformation ne fonctionnerait pas. Selon Benischke, c'est problématique sur deux fronts :

  1. Cela ne devrait plus être classé désormais comme open source ;

    La définition d'une licence Open Source est assez claire : « Je n'ai pas vraiment envie de devoir lire chacune de mes licences de dépendances et de dépendances transitives pour déterminer si j'accepte des termes discriminatoires en utilisant une bibliothèque. » « Je pense qu'il est tout à fait indésirable de politiser/armer l'open source de cette façon. Selon le type d'organisation avec laquelle vous travaillez, il pourrait être totalement inacceptable et hors de portée des permissions pour un ingénieur d'accepter ce genre de contrats. Je ne peux pas imaginer qu'une agence gouvernementale veuille découvrir que le logiciel qu'elle utilise lui impose une certaine position politique. »

    • Qu'en est-il d'une licence qui exige que vous vous absteniez de manger de la viande ou que vous la souteniez ?
    • Qu'en est-il d'un permis qui exige que vous soyez pro-vie/pro-choix ?
    • Qu'en est-il d'une licence qui exige que vous votiez démocrate/républicain ?

  2. Cela ne pourrait pas s'appliqué ;

    Certains analystes soutiennent qu'il n'est pas pratique d'encoder la moralité dans les licences, car elle serait de toute façon soit ignorée, soit bifurquée. La licence JSON « Le logiciel doit être utilisé pour le bien et non pour le mal » est inapplicable, et les licences sont conçues avec la clause 6 à l'esprit : « Pas de discrimination contre les domaines d'activité » afin d'éviter les pièges des licences provenant de dépendances en aval.

    Selon Gerald Benischke, le résultat du changement putin_khuylo est que ce module terraform AWS ne peut plus remplir aucune de ces clauses et ne peut donc plus être classé comme open source. L'auteur de la modification en aurait discuté sur Hacker News et a depuis changé la clause en « Informations supplémentaires » plutôt qu'en « Conditions générales supplémentaires » mais la modification du code putin_khuylo reste dans le module.

    Selon Gerald Benischke, cela soulève des interrogations sur la « sécurité » de ces composants. Il semble que ces modifications aient été apportées directement dans la branche principale sans demande de révision, ce qui suggère un manque de processus de révision. Ces actions ont eu un impact négatif sur la confiance dans les mainteneurs. Et cela amène à se demander si l'utilisation de ces composants est sûre.

    De plus, du point de vue des licences, certaines organisations ont des directives concernant les licences autorisées. Ainsi, si l'on peut démontrer que le code enfreint les clauses de la licence, est-il toujours possible de l'utiliser en toute sécurité ? Certaines histoires de guerre sur la suppression frénétique de bibliothèques sous GPL "infectieuses" font penser que les avocats pourraient avoir une journée de travail.
Le problème des dépendances dans l'ingénierie logicielle moderne est que seules les plus grandes organisations ont les ressources nécessaires pour écrire toutes leurs propres bibliothèques (par exemple Google, mais d'autres organisations comme Goldman Sachs serait également dans cette catégorie). La plupart des organisations n'ont tout simplement pas la capacité de tout écrire à partir de zéro, et ce pour une bonne raison : l'objectif de l'open source est la collaboration et la réutilisation, il doit y avoir une certaine confiance.

Imaginons une organisation où il y a des centaines d'équipes et des milliers de microservices. Et essayons de réfléchir à la manière dont on peut évaluer le risque de milliers de dépendances et de millions de lignes de code. « Sans confiance, le seul moyen d'y parvenir serait de forker toutes les librairies, d'empêcher l'open source et, plus généralement, de tuer toute agilité et toute vélocité », déclare Benischke.


La Russie est sur le coup de nombreuses sanctions : la chaîne d'information russe RT (Russia Today) a dû se retourner vers la plateforme de vidéo en ligne Rumble sur laquelle elle poursuivra ses diffusions. Google a procédé au blocage des applications mobiles liées à RT et Sputnik sur sa boutique d’applications Play en Europe, les spécialistes de la filière IT ne peuvent partir du pays ou subvenir à leurs besoins en raison des restrictions imposées par Visa et Mastercard, etc. Red Hat a allongé la liste et fait l’annonce de l’interruption de ses ventes et services en Russie et en Biélorussie. La Russie pour sa part envisage de légaliser le piratage de logiciels dans certains cas afin d’atténuer les sanctions.

Je [Paul Cormier - président et CEO de Red Hat] suis sûr de parler au nom de tous lorsque je dis que la guerre qui se déroule en Ukraine est déchirante. En tant qu'entreprise, nous sommes unis à toutes les personnes touchées par la violence et nous condamnons l'invasion de l'Ukraine par l'armée russe. Nous ajoutons nos voix à celles qui appellent à la paix et nous continuerons à travailler pour assurer la sécurité de nos associés touchés et de leurs familles de toutes les manières possibles.

Le géant des logiciels d'entreprise Oracle a déclaré qu'il avait suspendu toutes ses opérations en Russie, tandis que son rival SAP a annoncé plus tard qu'il suspendait toutes ses ventes dans le pays à la suite de l'invasion de l'Ukraine par Moscou. Les sanctions économiques contre la Russie sont un mécanisme important dans les efforts pour restaurer la paix. SAP est en échange constant avec les gouvernements du monde entier, « nous avons toute confiance en leurs conseils et nous soutenons pleinement les actions entreprises jusqu'à présent. Nous cessons toute activité en Russie alignée et en outre, nous interrompons toutes les ventes de services et de produits SAP en Russie ».

La Russie est aujourd'hui confrontée à une grave crise du stockage informatique après le retrait des fournisseurs occidentaux de services cloud, ce qui ne laisse à la Russie que deux mois avant d'être à court de stockage de données. Le gouvernement russe se prépare à cette pénurie de capacités informatiques, qui pourrait entraîner dans les prochains mois des problèmes de fonctionnement des systèmes d'information de l'État. Selon les médias russes, les autorités sont prêtes, si nécessaire, à racheter la capacité des centres de données commerciaux et à reprendre les ressources informatiques des entreprises qui ont annoncé leur retrait de la Fédération de Russie. Pour l'instant, le ministère du numérique a indiqué « qu'il analyse la situation ».

Les exploitants de centres de données soulignent qu'ils ont eux-mêmes besoin d'aide : les prix des systèmes de stockage et des serveurs ont explosé, les banques n'accordent pas de prêts et la chaîne logistique est perturbée. Si le gouvernement décide de pressurer le secteur privé, les experts estiment que les services de divertissement seront les premiers à en souffrir.

En début de semaine, la passerelle open source Scarf a commencé à limiter l'accès aux paquets open source pour les entités gouvernementales et militaires russes, via sa passerelle. Dans l'annonce de la société, le PDG et fondateur de Scarf, Avi Press, a écrit que « Scarf bloquera tous les téléchargements de paquets et de conteneurs provenant de sources gouvernementales russes jusqu'à nouvel ordre. »

L'entreprise n'est pas la seule à prendre une telle mesure cette semaine, Oracle ayant suspendu toutes ses opérations dans la Fédération de Russie, Hashicorp ayant interdit l'accès à ses produits et Apple ayant arrêté toutes ses ventes en Russie. Il y en a eu beaucoup d'autres, mais les actions de Scarf, MongoDB ou encore RPM se distinguent dans la mesure où la restriction s'applique ici aux logiciels libres, et non aux logiciels propriétaires.

En ce qui concerne les logiciels libres, la définition de l'Open Source Initiative est très claire : il ne doit y avoir « aucune discrimination à l'encontre de personnes ou de groupes et aucune discrimination à l'encontre de domaines d'activité ». Chacun de ces critères s'applique à la licence dudit logiciel open source, tandis que la distribution de ce même logiciel peut être une question totalement différente, fait valoir Avi Press.

« Je pense qu'il faut résister à la tentation d'utiliser les projets open source comme des armes contre la Russie car cela crée un dangereux précédent et peut finalement faire reculer le mouvement open source et pousser les organisations à chercher refuge dans les logiciels commerciaux avec toute leur opacité et leur obscurité » conclu Gerald Benischke.

Source : Article de Gérald Benischke

Et vous ?

Quel est votre avis sur le sujet ?

Gerald Benischke préconise de « résister à la tentation d'utiliser les projets open source comme des armes contre la Russie », qu’en pensez-vous ?

Voir aussi :

Un paquet npm compromis par l'auteur efface les fichiers sur les ordinateurs russes et biélorusses lors de l'installation, pour protester contre l'invasion de l'Ukraine par la Russie

Red Hat interrompt ses ventes et ses services en Russie et en Biélorussie dans un contexte où la Russie envisage de légaliser le piratage de logiciels dans certains cas, afin d'atténuer les sanctions

Plus que deux mois et la Russie se retrouvera sans stockage de données, le Pays est en passe d'être confrontée à une crise informatique

Les grandes entreprises technologiques se retirent de Russie, dont Google, Apple, Samsung, Netflix et Spotify, cela pourrait créer une opportunité pour les entreprises chinoises comme Xiaomi
9  1