Pourquoi une grande partie de l’infrastructure Internet est-elle gérée par des bénévoles ?

UN UNE DÉCENNIE AUPARAVANT quelqu’un s’est rendu compte que les verrous assurant la sécurité de pans entiers d’Internet ne fonctionnaient pas. OuvrirSSL, un outil utilisé pour chiffrer tout, depuis les mots de passe des réseaux sociaux jusqu’aux achats en ligne, présentait une faille fatale qui rendait les informations qu’il était censé protéger visibles aux pirates potentiels. Cette découverte n’était pas surprenante pour quiconque connaissait l’équipe derrière Open.SSL. Le logiciel, utilisé par près de 20 % des sites Web, y compris des entreprises technologiques réalisant des milliards de dollars de bénéfices annuels, était en grande partie géré par deux hommes nommés Steve, qui y travaillaient pendant leur temps libre. Les commentaires sur le code contenaient des aveux de faiblesses potentielles, telles que EEK ! Le code expérimental démarre.

Après la découverte de la faille, connue sous le nom de Heartbleed, les entreprises technologiques ont promis des millions de dollars pour développer OpenSSLvapeur. Les amateurs deviendraient du personnel rémunéré, mieux à même de sécuriser le Web. Mais le mois dernier, une autre faille dans l’infrastructure Internet a été découverte : un bénévole qui avait contribué pendant deux ans à diriger XZ Utils, un logiciel utilisé pour compresser et décompresser les données sous Linux, un système d’exploitation utilisé dans des éléments clés de l’infrastructure Internet, avait introduit clandestinement des logiciels malveillants dans le code, permettant aux pirates d’envoyer des commandes néfastes qui autrement auraient été empêchées. Une fois de plus, un projet géré par des bénévoles avait été délibérément compromis. En 2021, Log4j, un outil qui enregistre les erreurs informatiques, était confronté à une vulnérabilité similaire. Compte tenu de la fréquence à laquelle ces violations se produisent, pourquoi tant de logiciels critiques sont-ils entretenus par des amateurs ?