IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La Fondation Linux veut des détails sur toutes les contributions au noyau Linux faites par l'université du Minnesota
Avant qu'elle ne soit autorisée à contribuer à nouveau au noyau

Le , par Bill Fassinou
36 commentaires

72PARTAGES

16  0 
Des chercheurs de l'université du Minnesota ont secrètement tenté d'ajouter des vulnérabilités au noyau Linux
et ont fini par être bannis

Avec plus de 28 millions de lignes de code, le noyau Linux est l'un des plus grands projets logiciels de l'histoire moderne. Des contributeurs du monde entier et de différents domaines soumettent chaque jour un grand nombre de correctifs aux responsables du noyau Linux, afin qu'ils soient examinés avant d'être officiellement fusionnés avec l'arborescence officielle du noyau Linux.

Ces correctifs pourraient aider à corriger un bogue ou un problème mineur dans le noyau, voire même introduire une nouvelle fonctionnalité.

Cependant, certains contributeurs ont choisi de soumettre des correctifs contenant furtivement des vulnérabilités de sécurité au noyau Linux et ils ont été pris la main dans le sac par les responsables du noyau Linux.

Des chercheurs de l'Université américaine du Minnesota rédigeaient un document de recherche sur la possibilité de soumettre des correctifs à des projets open source contenant des vulnérabilités de sécurité cachées afin de mesurer scientifiquement la probabilité que ces correctifs soient acceptés et fusionnés. Ce qui pourrait rendre les projets open source vulnérables à diverses attaques.

Ils ont utilisé le noyau Linux comme l'une de leurs principales expériences, en raison de sa réputation bien connue et de son adaptation dans le monde entier.

Ces chercheurs ont soumis des correctifs qui ne semblaient pas résoudre complètement les problèmes associés dans le noyau, mais qui ne semblaient pas tout de suite introduire une faille de sécurité. Un certain nombre de ces correctifs qu'ils ont soumis au noyau ont en effet été fusionnés avec succès dans l'arborescence du noyau Linux.

Cependant, ils ont été pris par les responsables du noyau Linux et ont été publiquement humiliés. Dans un e-mail de Greg Kroah-Hartman, l'un des principaux responsables de la maintenance du noyau Linux, leur approche a été divulguée et leurs soi-disant « correctifs pour débutants » ont été jetés aux orties.

En réponse à Aditya Pakki qui lui disait :

« Greg,

« Je vous demande respectueusement de cesser et de vous abstenir de porter des accusations farfelues à la limite de la calomnie.

« Ces correctifs ont été envoyés dans le cadre d'un nouvel analyseur statique que j'ai écrit et sa sensibilité n'est évidemment pas excellente. J'ai envoyé des correctifs dans l'espoir d'obtenir des commentaires. Nous ne sommes pas des experts du noyau Linux et faire ces déclarations à plusieurs reprises est dégoûtant à entendre.

« De toute évidence, c'est une mauvaise démarche, mais vos préjugés sont si forts que vous faites des allégations sans fondement et ne nous accordez pas le bénéfice du doute.

«  Je n'enverrai plus de correctifs en raison de l'attitude non seulement indésirable, mais aussi intimidante envers les débutants et les non-experts ».

Et Greg de répondre :

« Vous et votre groupe avez publiquement admis avoir envoyé des correctifs bogués pour voir comment la communauté du noyau y réagirait, et publié un article basé sur ce travail.

« Maintenant, vous soumettez à nouveau une nouvelle série de correctifs manifestement incorrects, alors que suis-je censé penser d'une telle chose?

« De toute évidence, ils n'ont PAS été créés par un outil d'analyse statique qui est de toute intelligence, car ils sont tous le résultat de modèles totalement différents, et qui ne corrigent évidemment rien du tout. Alors, que suis-je censé penser ici, à part le fait que vous et votre groupe continuez à mener des expériences sur les développeurs de la communauté du noyau en envoyant des correctifs aussi absurdes ?

« Lors de la soumission de correctifs créés par un outil, tous ceux qui le font les soumettent avec des mots tels que "trouvés par l'outil XXX, nous ne savons pas si cela est correct ou non, veuillez nous en informer" ce qui n'est PAS du tout ce que vous avez fait ici. Vous ne demandiez pas d'aide, vous affirmiez qu'il s'agissait de correctifs légitimes, ce que vous SAVIEZ être incorrect.

« Quelques minutes avec n'importe qui avec un semblant de connaissance de C peut voir que vos soumissions ne font rien du tout, alors penser qu'un outil les a créées, puis que vous pensiez qu'il s'agissait d'un "correctif" valide est totalement négligent de votre part, pas de la nôtre. Vous êtes le fautif, ce n'est pas notre travail d'être les sujets de test d'un outil que vous créez.

« Notre communauté accueille les développeurs qui souhaitent aider et améliorer Linux. Ce n'est PAS ce que vous essayez de faire ici, alors n'essayez pas de le dépeindre de cette façon.

« Notre communauté n'apprécie pas d'être expérimentée, et d'être "testée" par des soumissions de correctifs connus qui ne font rien exprès, ou introduisent des bogues exprès. Si vous souhaitez faire un travail comme celui-ci, je vous suggère de trouver une autre communauté sur laquelle exécuter vos expériences, vous n'êtes pas les bienvenus ici.

« Pour cette raison, je vais maintenant devoir interdire toutes les contributions futures de votre université et supprimer vos contributions précédentes, car elles ont été manifestement soumises de mauvaise foi dans l'intention de causer des problèmes ».

Apparemment, Greg et un certain nombre d'autres mainteneurs n'étaient pas satisfaits de la situation étant donné que ces expériences prennent de leur temps et leurs efforts. Greg a annoncé que le noyau Linux interdirait toutes les contributions de l'Université du Minnesota, tous les correctifs qu'ils avaient précédemment soumis vont être supprimés du noyau et aucun nouveau correctif ne sera accepté de leur part à l'avenir.

Le document de recherche sur lequel ils ont travaillé a été publié en février 2021; il y a environ deux mois. Dans l'article, ils divulguent leur approche et les méthodes qu'ils ont utilisées pour insérer les vulnérabilités dans le noyau Linux et d'autres projets open source. Ils affirment également que la majorité des vulnérabilités qu'ils ont secrètement essayé d'introduire dans divers projets open source ont réussi à être insérées à environ 60% en moyenne:


On ne sait toujours pas à l'heure actuelle quels autres projets open source ils ont tenté de détourner, et quel est le nombre réel de vulnérabilités qu'ils ont réussi à insérer dans divers projets open source.

Greg a envoyé un autre e-mail dans lequel il annule la plupart des correctifs de l'Université du Minnesota du noyau Linux, et met certains d'entre eux en attente.

« J'avais l'intention de le faire depuis un certain temps, mais les événements récents m'ont finalement obligé à le faire maintenant.

« Les validations des adresses @ umn.edu ont été soumises de "mauvaise foi" pour essayer de tester la capacité de la communauté du noyau à examiner les modifications "malveillantes connues". Le résultat de ces soumissions peut être trouvé dans un article publié au 42nd IEEE Symposium on Security and Privacy intitulé "Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits" écrit par Qiushi Wu (Université du Minnesota) et Kangjie Lu (Université de Minnesota).

« Pour cette raison, toutes les soumissions de ce groupe doivent être retirées de l'arborescence du noyau et devront être réexaminées pour déterminer si elles sont réellement un correctif valide. Jusqu'à ce que ce travail soit terminé, supprimez cette modification pour vous assurer qu'aucun problème n'est introduit dans la base de code ».

L'université du Minnesota, quant à elle, a publié le communiqué suivant :

« Les dirigeants du département d'informatique et d'ingénierie de l'Université du Minnesota ont appris aujourd'hui les détails de la recherche menée par l'un de ses membres du corps professoral et des étudiants diplômés sur la sécurité du noyau Linux. La méthode de recherche utilisée a soulevé de sérieuses préoccupations dans la communauté du noyau Linux et, à partir d'aujourd'hui, cela a abouti à l'interdiction de l'Université de contribuer au noyau Linux.

« Nous prenons cette situation très au sérieux. Nous avons immédiatement suspendu cette ligne de recherche. Nous étudierons la méthode de recherche et le processus par lesquels cette méthode de recherche a été approuvée, déterminerons les mesures correctives appropriées et nous protégerons contre les problèmes futurs, si nécessaire. Nous rendrons compte de nos résultats à la communauté dès que possible ».

Sources : Greg Kroa-Hartman (1, 2), université du Minnesota

Et vous ?

Que pensez-vous de cette approche ? Pensez-vous que l’attitude du chercheur était justifiée au nom de la science et de la sécurité ? Ou pensez-vous que les responsables du noyau Linux avaient raison de les bannir du noyau, et que cette approche ne devrait pas être encouragée ?
Vous avez lu gratuitement 2 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

36 commentaires
Commenter Signaler un problème
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 28/04/2021 à 9:16
C'est très borderline et limite illégal du moins du point de vue du droit français. Que l'intension soit bonne ou mauvaise ne change pas l'illégitimité de l'acte. Ils se sont fait gauler sur au moins certains correctifs douteux, il est donc logique que tous leurs correctifs soient considérés comme douteux.
9  0 
eomer212
Avatar de eomer212
Membre confirmé https://www.developpez.com
Le 23/05/2021 à 13:44
les 'chercheurs' qui ont faits ca , ont juste méprisés au plus haut point les efforts des développeurs et mainteneurs de linux.

ces gens devraient être poursuivis pénalement, pour avoir nuit d'une part à la confiance envers l'université du Minnesota qu'ils ont trompée en utilisant son accréditation à fournir des correctifs au noyau linux,
et aussi nuit à la communauté linux elle même en faisant perdre un temps incalculable aux développeurs.

une sanction exemplaire devrait être prise à l'encontre de ces escrocs.
et pour le moins, les responsables de cette 'étude' , digne de celles qui consistent à étudier comment mieux tuer les baleines en plein moratoire de la chasse à la baleine , devraient être démis de leur poste et aller pointer au chômage!

la preuve que les diplômes universitaires n’empêchent pas d'être de vrais connards au pouvoir de nuisance décuplé.
6  2 
Zéolith
Avatar de Zéolith
Nouveau membre du Club https://www.developpez.com
Le 29/05/2021 à 17:48
C'est bien de faire amende honorable, mais enfin, comme en Assurance Qualité, ce serait bien que ces chercheurs apporte la preuve que leur démarche n'était qu'un test innocent.

Imaginons que le test ait réussi, c'est-à-dire que les failles n'aient pas été décelées. Quelle aurait été la suite ? Publication ... ou non ? Je fais un pas de plus: la CIA agit en sous-main en fait ou est informée par un chercheur en mal de pouvoir et, suite à ce succès, fait introduire un code qui ouvre une porte, fuite des infos, etc.

Pour moi, c'est grave et je ne crois pas à l'erreur d'appréciation.
3  0 
Kannagi
Avatar de Kannagi
Expert éminent sénior https://www.developpez.com
Le 06/05/2021 à 0:05
Citation Envoyé par archqt Voir le message
L'approche est correcte. Mais cela fait perdre du temps au mainteneurs du noyaux donc...Mais comment faire autrement si le but recherché est de vérifier que les mainteneurs travaillent bien ?

Cela montre au moins qu'on ne rajoute pas des bugs facilement dans le noyau.
Cela porte un nom c'est l’éthique , faire des expériences sur les "vrai gens" c'est un peu hors limite.
Il aurait pu tout simplement travailler sur des données actuels (du code refusé sur Linux , doit y'en avoir beaucoup).
Il aurait pu même faire une enquête sur les codes mauvais et voir combien de temps ils ont été refusé/modifié etc etc

Bref leur méthode et leur approche est très discutable pour ma part.
0  0 
shunesburg69
Avatar de shunesburg69
Membre du Club https://www.developpez.com
Le 28/05/2021 à 17:02
Ils auront au moins prouvé une chose, on ne peut pas publier des failles aussi facilement que certains essaient de faire croire pour dénigrer les projets libres. On devrait les remercier (mais pas pour autant les ré-autoriser à publier du code).
0  0 
Marc_marc
Avatar de Marc_marc
Membre à l'essai https://www.developpez.com
Le 15/09/2023 à 19:35
- je suis partisan de la sécurité, ce qui implique de tester même si ce test peux-être vu comme une perte de temps pour celui qui l'a subit

- cependant qui a le droit de décider ce qui doit être testé ? pouvez-vous déclencher une alerte incendie d'initiative personnelle pour voir comment votre employeur se débrouille ? pouvez-vous lancer une alerte Ã* la bombe pour voir comment les services concernés y font face ? pouvez-vous faire affecter un bouton d'assistance pour voir combien de temps le service met pour le détecter ?
bien évidement que non. donc on ne déclenche pas non plus de test de sécurité informatique impactant le temps des autres sans leur accord (sauf de rare cas que je trouve légitime tel que ceux ayant mis Ã* jour la passoire sécuritaire d'installation de production électrique par ex, ils n'ont causé aucun dégât, même pas une perte de temps, les gars dans la sécu étaient de toute façon au travail a "attendre l'ennemi"
est-ce que le test du noyau linux pourrait être considéré comme une "cause légitime donnant le droit de s’octroyer le droit de lancer le test-chronophage" ? peut-être. mais c'est sûrement pas une cause légitime de tester plusieurs projet open-source puisque lÃ* le but n'est pas de vérifier si "mes données critiques sont-ellles en sécurité avec le noyeau linux ?" mais "testons de l'opensource"

- quand Ã* la méthodologie, ce n'est pas clair. ils affirment que 60% de leurs failles ont été acceptées et affirment en même temps que c'était un échange via email sans aucun merge ni même aucun commit. alors sur quoi se basent-ils pour dire que c'est accepté ? ils ont papoté et un mainteneur a dit "cela a l'air bien ?"
cela n'est pas l'acceptation d'une faille, donc leur taux a l'air d'être 0% (ou leur explication vaut 0)
a l'inverse le lien theverge dit que 3 patchs problématique ont été accepté. le gars aurait fait involontairement 3 mauvais PR pré-étude ?

- c'est quoi ce PR post-étude ? Greg l'assimile Ã* ceux de l'étude, son auteur ne veux pas s'expliquer.

ce manque de transparence et les incohérences ne plaident évidement pas en sa faveur.
J'ai plutôt l'impression que tout ceci n'est qu'un travail d'étudiant qui mérite 0/10 en éthique
0  0 
JPLAROCHE
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 22/05/2021 à 20:32
Bonjour avec un peu de bonne volonté on arrive toujours à résoudre les problèmes....

Comme quoi ils ne sont pas bornés Bravo LINUX (tous ses développeur)
2  3 
Commenter Signaler un problème