IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Linux : Greg Kroah-Hartman refuse les excuses via lettre ouverte des chercheurs impliqués dans le scandale des « commits hypocrites »
Ou d'introduction secrète de vulnérabilités au noyau

Le , par Patrick Ruiz

63PARTAGES

18  0 
En général, les soumissions de correctifs à l’équipe de mainteneurs du noyau Linux ont pour but de l’améliorer. Une équipe de chercheurs de l’université du Minnesota s’est mise en marge de ce schéma classique. Elle a plutôt procédé à la soumission furtive de patchs contenant des failles de sécurité cachées afin d’obtenir une mesure scientifique de la probabilité que ceux-ci soient acceptés et fusionnés. Elle s’excuse désormais quant à l’approche adoptée puisque sous le coup d’un bannissement.

Le contenu de la lettre

Notre objectif était d'identifier les problèmes liés au processus d'application des correctifs et les moyens de les résoudre et nous sommes désolés que la méthode utilisée dans l'article sur les "commits hypocrites" ait été inappropriée. Comme de nombreux observateurs nous l'ont fait remarquer, nous avons commis une erreur en ne trouvant pas le moyen de consulter la communauté et d'obtenir sa permission avant de réaliser cette étude ; nous l'avons fait parce que nous savions que nous ne pouvions pas demander la permission aux mainteneurs de Linux, sinon ils seraient à l'affût des correctifs soumis dans le cadre de notre étude. Bien que notre objectif était d'améliorer la sécurité de Linux, nous comprenons maintenant qu'il était blessant pour la communauté d'en faire un sujet de recherche et de gaspiller ses efforts en examinant ces correctifs à son insu et sans sa permission.

Nous voulons simplement que vous sachiez que nous ne ferions jamais de mal de façon intentionnelle à la communauté du noyau Linux et que nous n'introduisons jamais de failles de sécurité. Notre travail a été mené avec les meilleures intentions du monde et consiste à trouver et à corriger les failles de sécurité... Nous sommes une équipe de recherche dont les membres consacrent leur carrière à l'amélioration du noyau Linux. Nous nous efforçons de trouver et de corriger les vulnérabilités de Linux depuis cinq ans...

L'incident actuel a provoqué une grande colère dans la communauté Linux envers nous, l’équipe de recherche et l'Université du Minnesota. Nous nous excusons sans condition pour ce que nous reconnaissons maintenant comme une violation de la confiance partagée dans la communauté open source et nous demandons pardon pour nos faux pas. Nous cherchons à reconstruire la relation avec la Fondation Linux et la communauté Linux à partir d'un lieu d'humilité afin de créer une fondation à partir de laquelle, nous l'espérons, nous pourrons à nouveau contribuer à notre objectif commun d'améliorer la qualité et la sécurité des logiciels Linux... Nous nous engageons à suivre les meilleures pratiques en matière de recherche collaborative en consultant les dirigeants et les membres de la communauté sur la nature de nos projets de recherche, et en nous assurant que notre travail répond non seulement aux exigences de l'Institutional Review Board mais aussi aux attentes que la communauté nous a exprimées à la suite de cet incident.

Bien que cette situation ait été douloureuse pour nous aussi et que nous soyons sincèrement désolés pour le travail supplémentaire que la communauté du noyau Linux a entrepris, nous avons tiré de cet incident des leçons importantes sur la recherche avec la communauté open source. Nous pouvons faire mieux et nous le ferons et nous pensons que nous avons beaucoup à apporter à l'avenir et nous travaillerons dur pour regagner votre confiance.


L’équipe de chercheurs insiste : pas de vulnérabilités introduites au kernel

Ces chercheurs ont soumis des correctifs qui n’introduisaient pas de vulnérabilités, d'après leur lettre ouverte. « Ce travail n'a pas introduit de vulnérabilités dans le code Linux. Les trois correctifs incorrects ont fait l'objet de discussions et ont été bloqués lors d'échanges sur un forum de discussion Linux. Ils n'ont jamais été intégrés au code. Nous avons communiqué les résultats et nos conclusions (à l'exception des correctifs incorrects) de ce travail à la communauté Linux avant la soumission du document, nous avons recueilli leurs commentaires et nous les avons inclus dans l'article », indique-t-elle.

Greg Kroah-Hatman soumet le retour de l’équipe à conditions

Merci pour votre réponse. Comme vous le savez, la Fondation Linux et le conseil consultatif technique de la Fondation Linux ont soumis une lettre vendredi à votre université décrivant les actions spécifiques qui doivent être entreprises pour que votre groupe, et votre université, puissent travailler à regagner la confiance de la communauté du noyau Linux. Jusqu'à ce que ces actions soient entreprises, nous n'avons plus rien à discuter sur ce sujet. Merci

Sources : lkml1, lkml2

Et vous ?

Les chercheurs auraient-ils pu procéder autrement si le but recherché était de vérifier que les mainteneurs travaillent bien ? Si oui, comment ?

Voir aussi :

Canonical publie Ubuntu 19.10 Eoan Ermine avec GNOME 3.34, le support de Raspberry Pï 4 et le support expérimental du système de fichiers ZFS

Sortie de la version 5.4 du noyau Linux avec l'ajout d'un mode de verrouillage du noyau, d'une couche de sécurité pour détecter les modifications de fichiers et plusieurs autres améliorations

Ubuntu 19.04 (Disco Dingo) est publié avec la version 5.0 du noyau Linux et est plutôt perçu comme une mise à jour qu'une version majeure

Microsoft rend son système de fichiers exFAT open source et soutien l'intégration de cette technologie au noyau Linux afin de faciliter l'interopérabilité entre Linux et Windows 10

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 28/04/2021 à 9:16
C'est très borderline et limite illégal du moins du point de vue du droit français. Que l'intension soit bonne ou mauvaise ne change pas l'illégitimité de l'acte. Ils se sont fait gauler sur au moins certains correctifs douteux, il est donc logique que tous leurs correctifs soient considérés comme douteux.
9  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 26/04/2021 à 17:03
Citation Envoyé par micka132 Voir le message
Il me semble que le point le plus important c'est quand même de faire prendre conscience que l'open source peut être à double tranchant.
Des personnes mal intentionnée peuvent (et ne s'en privent sûrement pas) introduire des vulnérabilités.
Oui, tout comme le Closed-Source (rien que ces derniers mois, on a Ubiquiti, Microsoft Azure à travers Solar Winds Orion, puis Microsoft Exchange. les firewalls Zyxel et leur compte admin caché et codé en dur, et pas plus tard qu'aujourd'hui un article sur Clickstudios PasswordState).

L'Open-Source est tout aussi vulnérable, comme tu le soulignes, et tu as raison (d'ailleurs, il me semble que c'était un des postulats de l'article de recherche en question).

Du coup il est important de tirer parti d'un avantage de l'Open Source: auditer le code.

Après, il ne faut pas se le cacher, les audits ça coûte cher et les gens vraiment compétents ne courent pas les rues.
7  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 26/04/2021 à 8:17
Citation Envoyé par Patrick Ruiz Voir le message
Ces chercheurs ont soumis des correctifs qui n’introduisaient pas de vulnérabilités, d'après leur lettre ouverte.
Ce n'est pas tout-à-fait vrai. Selon leur article de recherche, le but de tous leurs correctifs était d'introduire des vulnérabilités, afin de voir si elles étaient détectées.

Ce qui fait qu'aucune vulnérabilité n'est introduite c'est qu'ils ont soumis leurs patchs par email uniquement, et qu'ils ont pris contact avec les mainteneurs dans le cas des patchs acceptés (chose rendue possible du fait d'un délai entre l'acceptation et l'inclusion du patch au code source du noyau, comme ils l'expliquent dans leur article).
4  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 26/04/2021 à 14:35
Citation Envoyé par kain_tn Voir le message
Ce n'est pas tout-à-fait vrai. Selon leur article de recherche, le but de tous leurs correctifs était d'introduire des vulnérabilités, afin de voir si elles étaient détectées.

Ce qui fait qu'aucune vulnérabilité n'est introduite c'est qu'ils ont soumis leurs patchs par email uniquement, et qu'ils ont pris contact avec les mainteneurs dans le cas des patchs acceptés (chose rendue possible du fait d'un délai entre l'acceptation et l'inclusion du patch au code source du noyau, comme ils l'expliquent dans leur article).
C'était le but des patchs soumis dans le cadre de l'article.

Mais Greg Kroah-Hartman a décidé de retirer tous les patchs soumis par toutes les adresses mail en provenance de leur université, ce qui comprend une grosse majorité de vrai correctifs.
3  0 
Avatar de eomer212
Membre averti https://www.developpez.com
Le 23/05/2021 à 13:44
les 'chercheurs' qui ont faits ca , ont juste méprisés au plus haut point les efforts des développeurs et mainteneurs de linux.

ces gens devraient être poursuivis pénalement, pour avoir nuit d'une part à la confiance envers l'université du Minnesota qu'ils ont trompée en utilisant son accréditation à fournir des correctifs au noyau linux,
et aussi nuit à la communauté linux elle même en faisant perdre un temps incalculable aux développeurs.

une sanction exemplaire devrait être prise à l'encontre de ces escrocs.
et pour le moins, les responsables de cette 'étude' , digne de celles qui consistent à étudier comment mieux tuer les baleines en plein moratoire de la chasse à la baleine , devraient être démis de leur poste et aller pointer au chômage!

la preuve que les diplômes universitaires n’empêchent pas d'être de vrais connards au pouvoir de nuisance décuplé.
5  2 
Avatar de Jeff_67
Membre éclairé https://www.developpez.com
Le 26/04/2021 à 12:58
Ce n'est pas parce que Linux est un projet "libre" (les guillemets ont leur importance) qu'on peut mener des recherches en sécurité sans avoir obtenu aucun accord au préalable, même si ces dernières sont utiles à la communauté.

Si ces chercheurs avaient fait de même dans une entreprise privée, cela se serait soldé en poursuites pénales avec dommages et intérêts à la clé. Blacklister l'Université du Minnesota est une sanction gentille en comparaison.
2  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 27/04/2021 à 17:09
A ma connaissance Linux était le seul projet étudié, mais si il y en avait d'autre, il n'y a pas de raison qu'ils aient été traités de la même façon, il ne devrait pas y avoir de faille introduite. Le but de l'expérience et de tester les processus de review, les patch ont été signalés par l'équipe elle même avant qu'ils arrivent dans le code final.
2  0 
Avatar de Zéolith
Membre à l'essai https://www.developpez.com
Le 29/05/2021 à 17:48
C'est bien de faire amende honorable, mais enfin, comme en Assurance Qualité, ce serait bien que ces chercheurs apporte la preuve que leur démarche n'était qu'un test innocent.

Imaginons que le test ait réussi, c'est-à-dire que les failles n'aient pas été décelées. Quelle aurait été la suite ? Publication ... ou non ? Je fais un pas de plus: la CIA agit en sous-main en fait ou est informée par un chercheur en mal de pouvoir et, suite à ce succès, fait introduire un code qui ouvre une porte, fuite des infos, etc.

Pour moi, c'est grave et je ne crois pas à l'erreur d'appréciation.
2  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 26/04/2021 à 15:23
Citation Envoyé par Uther Voir le message
C'était le but de patchs soumis dans le cadre de l'article.

Mais Greg Kroah-Hartman a décidé de retirer tous les patchs soumis par toutes les adresses mail en provenance de leur université, ce qui comprend une grosse majorité de vrai correctifs.
Tout à fait. Je réagissais sur la phrase "Ces chercheurs ont soumis des correctifs qui n’introduisaient pas de vulnérabilités, d'après leur lettre ouverte", qui va à l'encontre de ce qu'ils décrivent dans leur article: c'est-à-dire que c'est le mode opératoire que les chercheurs ont suivi qui fait qu'il n'y a pas de vulnérabilités, et non pas le contenu de leurs patchs.

Pour le reste, oui, c'est bien ce que j'avais compris: Kroah-Hartman veut supprimer toutes les contributions de l'université du Minnesota, et pas seulement celles de ces trois chercheurs.
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 27/04/2021 à 6:45
Citation Envoyé par micka132 Voir le message
Il me semble que le point le plus important c'est quand même de faire prendre conscience que l'open source peut être à double tranchant.
Des personnes mal intentionnée peuvent (et ne s'en privent sûrement pas) introduire des vulnérabilités.
Que les mainteneurs ne les voient pas ne fait pas forcement d'eux de mauvais travailleurs.
Le problème n'est pas l'open source en soi : des backdoors ont aussi été introduites dans des logiciels propriétaires. La clé c'est le système de revue, l'expérience visait avant tout a montrer les faiblesse du système de revue qui n'est pas en mesure de relever efficacement certaine vulnérabilités comme les "use after free".
1  0