Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.
- [Clubic.com] GitHub déploie une offre de conseil juridique pour les développeurs open source
- [ZDNet France] Les attaques sur la chaîne d’approvisionnement logicielle s’aggravent et nous ne sommes pas prêts
- [Clubic.com] Urbit, un nouvel OS pour redonner le pouvoir aux internautes?
- [Le Monde Informatique] GitHub Copilot inacceptable et injuste pour la FSF
[Clubic.com] GitHub déploie une offre de conseil juridique pour les développeurs open source
✍ Fanny Dufour, le mercredi 4 août 2021.
GitHub a annoncé mettre en place une aide juridique pour les développeurs open source dans le but de combattre les demandes de retrait liées au DMCA.
[ZDNet France] Les attaques sur la chaîne d’approvisionnement logicielle s’aggravent et nous ne sommes pas prêts
✍ Liam Tung, le mercredi 4 août 2021.
L’agence européenne de la cybersécurité s’est penchée sur 24 attaques récentes visant la chaîne d’approvisionnement logicielle et met en garde contre l'insuffisance des moyens de défense.
[Clubic.com] Urbit, un nouvel OS pour redonner le pouvoir aux internautes?
✍ Cyril Fiévet, le mercredi 4 août 2021.
Peut-on encore imposer un nouveau système d’exploitation s’affranchissant de la domination des géants du numérique ? Certains le croient et bâtissent patiemment Urbit, un OS alternatif libre et gratuit, décentralisé, respectueux de la vie privée et replaçant l’usager au cœur de l’écosystème numérique. Un pari fou ?
[Le Monde Informatique] GitHub Copilot inacceptable et injuste pour la FSF
✍ Paul Krill, le mardi 3 août 2021.
L’organisation à but non lucratif de promotion et de défense du logiciel libre (FSF) pointe du doigt l’équité, la légitimité et la légalité de Copilot, l’assistant de codage piloté par l’IA de GitHub.
Aller plus loin
- April (15 clics)
- Revue de presse de l'April (17 clics)
- Revue de presse de la semaine précédente (19 clics)
- 🕸 Fils du Net (15 clics)
# ZDNet
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 9.
À mon avis, faudrait arrêter de citer les articles de ZDNet. Ça leur fait de la pub et ça déni complètement Linux.
Là ça reparle de SolarWinds et du logiciel de mise à jour qui avait été compromis. Mais jamais ça rappelle que sur un Linux ou un BSD ça n’aurait pas pu avoir lieu car le logiciel de mise à jour il n’y en a qu’un : celui de l’OS.
Et du coup les recommandations qui vont avec (cités dans l’article) ne servent à rien car ça ne change pas la cause racine du problème.
Et pour couronner le tout, l’article dit que l’open-source n’aurait été d’aucune aide ici. C’est bien péremptoire.
[^] # Re: ZDNet
Posté par Misc (site web personnel) . Évalué à 1.
Sauf qu'il y a des outils qui vont par dessus, par exemple, Satelite (Red Hat), Landscape (Canonical). Ou des outils de gestions à distance comme Puppet, Salt, etc.
C'est en effet péremptoire, mais c'est sans doute vrai. Des compromission de l'infrastructure des logiciels libres, il y en a eu plein depuis des années, plus ou moins grave. J'ai une liste sur l'intranet du boulot que j'ai pas publié (ça me prends du temps de choisir comment et ou), mais dans mon souvenir, tout les gros projets y sont passés à un moment dans leur vie.
De surcroit, je pense que peu de gens passent leur temps à relire les modifs des logiciels mis à jour.
[^] # Re: ZDNet
Posté par Ant . Évalué à 6.
D'abord le titre est incompréhensible en français : qu'est que ça veut dire "la chaîne d'approvisionnement logicielle" ? c'est de la traduction mot à mot de l'anglais mais en français l'expression n'est pas utilisée à ma connaissance. L'article fait allusion à l'achat de logiciel ou la sous-traitance logicielle.
Ensuite, concernant le logiciel open-source, les propos de l'auteur laissent entendre que le directeur de la Linux fondation David A. Wheeler lui-même reconnait que le développement en open source n'aurait pas permis de détecter la faille, car la revue du code source n'aurait été d'aucune aide. Cette dernière affirmation est apparemment vraie, mais ne reprend pas en substance les propos de David A. Wheeler.
En lisant l'article de Zdnet auquel il est fait référence, on s'aperçoit que David A. Wheeler dit quasiment le contraire : certes la revue de code source source n'aurait pas aidé (pour la raison que généralement seul le code inséré ou modifié est revu lors du processus de développement). Pour déceler un malware inséré dans le code, il faut auditer l'intégralité du code, ce que ne permet pas le code source fermé. Et David A. Wheeler de conclure "If we needed further evidence that obscurity of software source code doesn't automatically provide security, this is it."
Bref, article un peu limite quand même.
https://www.zdnet.com/article/solarwinds-defense-how-to-stop-similar-attacks/
[^] # Re: ZDNet
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Sur la terminologie, elle me semble commune au contraire, cf quelques exemples :
Attaquer des camions, ou bien envoyer n'importe où des camions en pipotant leur GPS serait une attaque par la chaîne d'approvisionnement "matérielle mais non-informatique", tout comme les replacements de puces lors de livraisons de serveurs serait une attaque sur le "matériel informatique lui-même"
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.