En général, les soumissions de correctifs à l’équipe de mainteneurs du noyau Linux ont pour but de l’améliorer. Une équipe de chercheurs de l’université du Minnesota s’est mise en marge de ce schéma classique. Elle a plutôt procédé à la soumission furtive de patchs contenant des failles de sécurité cachées afin d’obtenir une mesure scientifique de la probabilité que ceux-ci soient acceptés et fusionnés. Elle s’excuse désormais quant à l’approche adoptée puisque sous le coup d’un bannissement.
Le contenu de la lettre
Notre objectif était d'identifier les problèmes liés au processus d'application des correctifs et les moyens de les résoudre et nous sommes désolés que la méthode utilisée dans l'article sur les "commits hypocrites" ait été inappropriée. Comme de nombreux observateurs nous l'ont fait remarquer, nous avons commis une erreur en ne trouvant pas le moyen de consulter la communauté et d'obtenir sa permission avant de réaliser cette étude ; nous l'avons fait parce que nous savions que nous ne pouvions pas demander la permission aux mainteneurs de Linux, sinon ils seraient à l'affût des correctifs soumis dans le cadre de notre étude. Bien que notre objectif était d'améliorer la sécurité de Linux, nous comprenons maintenant qu'il était blessant pour la communauté d'en faire un sujet de recherche et de gaspiller ses efforts en examinant ces correctifs à son insu et sans sa permission.
Nous voulons simplement que vous sachiez que nous ne ferions jamais de mal de façon intentionnelle à la communauté du noyau Linux et que nous n'introduisons jamais de failles de sécurité. Notre travail a été mené avec les meilleures intentions du monde et consiste à trouver et à corriger les failles de sécurité... Nous sommes une équipe de recherche dont les membres consacrent leur carrière à l'amélioration du noyau Linux. Nous nous efforçons de trouver et de corriger les vulnérabilités de Linux depuis cinq ans...
L'incident actuel a provoqué une grande colère dans la communauté Linux envers nous, l’équipe de recherche et l'Université du Minnesota. Nous nous excusons sans condition pour ce que nous reconnaissons maintenant comme une violation de la confiance partagée dans la communauté open source et nous demandons pardon pour nos faux pas. Nous cherchons à reconstruire la relation avec la Fondation Linux et la communauté Linux à partir d'un lieu d'humilité afin de créer une fondation à partir de laquelle, nous l'espérons, nous pourrons à nouveau contribuer à notre objectif commun d'améliorer la qualité et la sécurité des logiciels Linux... Nous nous engageons à suivre les meilleures pratiques en matière de recherche collaborative en consultant les dirigeants et les membres de la communauté sur la nature de nos projets de recherche, et en nous assurant que notre travail répond non seulement aux exigences de l'Institutional Review Board mais aussi aux attentes que la communauté nous a exprimées à la suite de cet incident.
Bien que cette situation ait été douloureuse pour nous aussi et que nous soyons sincèrement désolés pour le travail supplémentaire que la communauté du noyau Linux a entrepris, nous avons tiré de cet incident des leçons importantes sur la recherche avec la communauté open source. Nous pouvons faire mieux et nous le ferons et nous pensons que nous avons beaucoup à apporter à l'avenir et nous travaillerons dur pour regagner votre confiance.
L’équipe de chercheurs insiste : pas de vulnérabilités introduites au kernel
Ces chercheurs ont soumis des correctifs qui n’introduisaient pas de vulnérabilités, d'après leur lettre ouverte. « Ce travail n'a pas introduit de vulnérabilités dans le code Linux. Les trois correctifs incorrects ont fait l'objet de discussions et ont été bloqués lors d'échanges sur un forum de discussion Linux. Ils n'ont jamais été intégrés au code. Nous avons communiqué les résultats et nos conclusions (à l'exception des correctifs incorrects) de ce travail à la communauté Linux avant la soumission du document, nous avons recueilli leurs commentaires et nous les avons inclus dans l'article », indique-t-elle.
Greg Kroah-Hatman soumet le retour de l’équipe à conditions
Merci pour votre réponse. Comme vous le savez, la Fondation Linux et le conseil consultatif technique de la Fondation Linux ont soumis une lettre vendredi à votre université décrivant les actions spécifiques qui doivent être entreprises pour que votre groupe, et votre université, puissent travailler à regagner la confiance de la communauté du noyau Linux. Jusqu'à ce que ces actions soient entreprises, nous n'avons plus rien à discuter sur ce sujet. Merci
Sources : lkml1, lkml2
Et vous ?
Les chercheurs auraient-ils pu procéder autrement si le but recherché était de vérifier que les mainteneurs travaillent bien ? Si oui, comment ?
Voir aussi :
Canonical publie Ubuntu 19.10 Eoan Ermine avec GNOME 3.34, le support de Raspberry Pï 4 et le support expérimental du système de fichiers ZFS
Sortie de la version 5.4 du noyau Linux avec l'ajout d'un mode de verrouillage du noyau, d'une couche de sécurité pour détecter les modifications de fichiers et plusieurs autres améliorations
Ubuntu 19.04 (Disco Dingo) est publié avec la version 5.0 du noyau Linux et est plutôt perçu comme une mise à jour qu'une version majeure
Microsoft rend son système de fichiers exFAT open source et soutien l'intégration de cette technologie au noyau Linux afin de faciliter l'interopérabilité entre Linux et Windows 10
Linux : Greg Kroah-Hartman refuse les excuses via lettre ouverte des chercheurs impliqués dans le scandale des « commits hypocrites »
Ou d'introduction secrète de vulnérabilités au noyau
Linux : Greg Kroah-Hartman refuse les excuses via lettre ouverte des chercheurs impliqués dans le scandale des « commits hypocrites »
Ou d'introduction secrète de vulnérabilités au noyau
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !