Internet fonctionne avec des logiciels open source gratuits. Qui paie pour le réparer ?
Pour soutenir le journalisme de MIT Technology Review, veuillez envisager de vous abonner.
Pour quelque chose d’aussi important, vous pourriez vous attendre à ce que les plus grandes entreprises technologiques et les gouvernements du monde aient engagé des centaines d’experts hautement rémunérés pour corriger rapidement la faille.
La vérité est différente : Log4J, qui a longtemps été un élément essentiel de l’infrastructure Internet de base, a été fondé en tant que projet bénévole et est toujours géré en grande partie gratuitement, même si de nombreuses entreprises d’un million et d’un milliard de dollars en dépendent et en profitent. chaque jour. Yazici et son équipe essaient de le réparer pour presque rien.
Cette situation étrange est courante dans le monde des logiciels open source, des programmes qui permettent à quiconque d’inspecter, de modifier et d’utiliser leur code. C’est une idée vieille de plusieurs décennies qui est devenue essentielle au fonctionnement d’Internet. Quand tout va bien, l’open source est un triomphe collaboratif. Quand ça va mal, c’est un danger de grande envergure.
L’open source gère Internet et, par extension, l’économie, explique Filippo Valsorda, un développeur qui travaille sur des projets open source chez Google. Et pourtant, explique-t-il, il est extrêmement courant, même pour les projets d’infrastructure de base, d’avoir une petite équipe de mainteneurs, ou même un seul mainteneur qui n’est pas payé pour travailler sur ce projet.
Pas de reconnaissance
L’équipe travaille 24 heures sur 24, m’a dit Yazici par e-mail lorsque je l’ai contacté pour la première fois. Et mon quart de travail de 6 h à 4 h (non, il n’y a pas de faute de frappe) vient de se terminer.
Au milieu de ses longues journées, Yazici a pris le temps depointer du doigt les critiques, tweeterque les mainteneurs de Log4j ont travaillé sans sommeil sur des mesures d’atténuation ; correctifs, docs, CVE, réponses aux demandes de renseignements, etc. Pourtant, rien n’empêche les gens de nous critiquer, pour un travail pour lequel nous ne sommes pas payés, pour une fonctionnalité que nous n’aimons pas tous mais que nous devions conserver en raison de problèmes de compatibilité descendante.
Avant que la vulnérabilité Log4J ne transforme ce logiciel obscur mais omniprésent en gros titres, le chef de projet Ralph Goers avait un grand total de trois sponsors mineurs soutenant son travail. Goers, qui travaille sur Log4J en plus d’un travail à temps plein, est chargé de réparer le code défectueux et d’éteindre l’incendie qui cause des millions de dollars de dégâts. C’est une charge de travail énorme pour une poursuite de temps libre.
Le sous-financement des logiciels open source est un risque systémique pour les États-Unis, pour les infrastructures critiques, pour la banque, pour la finance, déclare Chris Wysopal, directeur de la technologie de la société de sécurité Veracode. L’écosystème open source est là-haut en importance pour l’infrastructure critique avec Linux, Windows et les protocoles Internet fondamentaux. Ce sont les principaux risques systémiques pour Internet.