Un développeur open source a saboté ses propres bibliothèques affectant des milliers d'applications

Récemment, la nouvelle a annoncé que un développeur a saboté deux de ses propres bibliothèques open source, provoquant des interruptions dans des milliers d'applications qui les utilisaient.

Marc Squires, l'auteur de deux bibliothèques JavaScript avec plus de 21 000 applications dépendantes et plus de 22 millions de téléchargements hebdomadaires, mis à jour ses plans à la fin de la semaine dernière après être resté inchangé pendant plus d'un an. Les mises à jour contenaient du code pour produire une boucle infinie ce qui a provoqué l'apparition de charabia des applications dépendantes, précédées des mots "Liberté Liberté Liberté".

Squires n'a fourni aucune raison de le faire, mais un fichier « faker.js » a été remplacé par « Qu'est-ce qui est vraiment arrivé à Aaron Swartz ? »

Swartz était un développeur de premier plan qui a aidé à établir Creative Commons, RSS et Reddit. En 2011, Swartz a été accusé d'avoir volé des documents de la base de données académique JSTOR dans le but de les rendre librement accessibles.

L'activiste jeImpliqué dans de grandes causes telles que la neutralité du Net, il s'est opposé aux lois SOPA et PIPA (équivalent à Hadopi aux États-Unis). Aaron Swartz s'est suicidé en janvier 2013. Soumis à des épisodes dépressifs, il était soumis à de lourdes procédures judiciaires. Il encourait pas moins de 4 millions de dollars d'amende et 30 ans de prison pour décryptage et vol de 4 millions de documents académiques du MIT et du site Jstor. Un acte accompli au nom du libre accès au savoir. Un acte qui lui a également valu l'accusation de « crime » (« crime ») par la justice américaine.

Aaron Swartz a obstinément refusé d'accepter le terme, selon son collègue Lawrence Lessig. Un refus qui, après 18 mois de négociations, donnerait lieu à un procès avec des sanctions potentiellement très sévères.

En réaction à sa mort, plusieurs professeurs du MIT ont décidé d'honorer son combat, qu'ils soutiennent, en téléchargeant des fichiers PDF de leurs travaux pour lutter contre le droit d'auteur des articles savants. En plus de ces professeurs, le MIT a également officiellement et en tant qu'institution décidé de mener une enquête interne pour déterminer comment l'école de Boston avait agi, dans le détail, depuis le début de l'affaire de « vol » de documents. Et si leurs décisions n'avaient pas été disproportionnées ?

En même temps, depuis inclus la référence Swartz dans le fichier "Readme"Squires a également tweeté ces mêmes mots et a inclus un lien vers un fil de discussion affirmant que Swartz a été tué après avoir découvert de la pédopornographie sur les serveurs du MIT. Ce message maintenant supprimé (mais disponible sur les archives Web), inclus dans le fil, se lit comme suit :

"Non, ce n'est pas Aaron Swartz qui devrait être jugé, mais cette institution d'enseignement à haut salaire, le MIT, qui est responsable des crimes odieux qui ont conduit à sa mort. Les risques pris par Swartz, qui menaçait ainsi le MIT, ne peuvent être compris qu'à travers le thème de la pédopornographie orchestrée et produite par ses professeurs acclamés et distribuée à ses riches et puissants commanditaires. Les cyber pokers du MIT servent une clientèle qui comprend le plus haut échelon du département d'État, de grandes entreprises, des agences de renseignement, l'armée et la Maison Blanche.

Chaque élément de l'affaire Swartz indique qu'il est mort dans une tentative héroïque d'exposer la perversion qui a corrompu les cœurs et les esprits de l'élite mondiale, un vice odieux et souvent mortel qui traumatise les enfants innocents et menace chaque famille sur cette planète.

Cet étalage de faits est un chemin sinueux qui mène des Sacred Ivy Halls de Boston à la périphérie de Phnom Penh, où un professeur de renommée mondiale a organisé des services sexuels pour les jeunes pour les dignitaires en visite et envoyé de la pornographie enfantine cryptée par satellite vers des bases illicites. Les données. sur le campus du MIT.

Nicholas Negroponte, tu n'as plus d'endroit où te cacher en Asie du Sud-Est ou en Afrique. Vous êtes sous surveillance et vous serez persécuté sans relâche, non seulement pour pédopornographie et proxénétisme, mais désormais pour complicité de meurtre. Votre seule issue est de renvoyer les fichiers vidéo avec la liste complète des noms, et vous feriez mieux de le faire dès que possible, car les puissants pédophiles de cette liste vous feront taire pour couvrir leurs propres traces. »

Le sabotage d'une bibliothèque suscite des inquiétudes sur la sécurité de la chaîne d'approvisionnement logicielle, qui est cruciale pour de nombreuses organisations, y compris les entreprises Fortune 500. Les deux bibliothèques sabotées, Faker.js et Colors.js, ont créé des problèmes pour les personnes utilisant le SDK cloud d'Amazon.

Les critiques ont longtemps dit que les grandes entreprises profitent des écosystèmes open source sans payer correctement aux développeurs pour leur temps. À leur tour, les développeurs de logiciels responsables sont injustement testés.

En fait, Squires a déclaré en 2020 qu'il ne soutiendrait plus les grandes entreprises avec le travail qu'il fait gratuitement.

"Saisissez cette opportunité pour m'envoyer un contrat annuel à six chiffres ou bifurquez le projet et demandez à quelqu'un d'autre de travailler dessus", a-t-il écrit.

La capacité d'un seul développeur à freiner une base d'applications aussi importante met en évidence une faiblesse fondamentale de l'architecture actuelle des logiciels libres et open source. Ajoutez à cela les ravages causés par les vulnérabilités de sécurité négligées dans les applications open source largement utilisées et vous avez une recette pour un désastre potentiel.

source: https://web.archive.org

https://github.com


Un commentaire, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Robert Scattini dit

    Salut! Il manque quelque chose à cette nouvelle qui pour moi attire également beaucoup d'attention : lorsque tous ces événements se sont produits, GitHub a (apparemment) suspendu le compte du programmeur, faisant allusion au fait qu'il avait enfreint les "conditions d'utilisation", l'empêchant d'accéder à son propre code. .. WTF ? Depuis quand décidez-vous de ce qu'un programmeur open source peut faire avec ses propres projets ?