IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La Fondation Linux veut des détails sur toutes les contributions au noyau Linux faites par l'université du Minnesota
Avant qu'elle ne soit autorisée à contribuer à nouveau au noyau

Le , par Bill Fassinou

67PARTAGES

16  0 
Quelques jours sont passés depuis le scandale des « commits hypocrites » qui a éclaboussé la communauté Linux. Après que Greg Kroah-Hartman, le mainteneur du noyau Linux pour la branche stable, a refusé les excuses des chercheurs impliqués dans ce geste malencontreux, l'on apprend que la Fondation Linux a adressé un certain nombre de demandes à l'université du Minnesota (UMN) auxquelles elle doit répondre avant que son personnel ne soit autorisé à contribuer à nouveau au noyau. La fondation exige que l'UMN lui fournisse "toutes les informations nécessaires pour identifier toutes les propositions de code vulnérable connu de toute son expérience".

Tous les commits provenant de l'UMN pourraient être réexaminés

Dernièrement, la communauté du noyau Linux a quelque peu été agitée en raison des efforts déployés par des chercheurs de l'UMN pour torpiller intentionnellement la sécurité de Linux en soumettant des correctifs défectueux. Depuis l'incident, les chercheurs, Qiushi Wu et Aditya Pakki, et leur conseiller diplômé, Kangjie Lu, professeur adjoint au département des sciences et de l'ingénierie informatiques de l'UMN, ont présenté leurs excuses pour leurs bévues concernant le noyau Linux. Mais cela n'a pas suffi. Greg Kroah-Hartman, le mainteneur principal du noyau Linux, demande plus.



Les développeurs du noyau Linux et le comité consultatif technique de la Fondation Linux, via la Fondation Linux, ont demandé à l'UMN de prendre des mesures spécifiques avant que leurs collaborateurs ne soient autorisés à contribuer à nouveau à Linux. Greg Kroah-Hartman a en effet proposé de revoir et de purger toutes les contributions au noyau faites à partir des adresses électroniques officielles de l'Université du Minnesota. Il est donc demandé à l'UMN de fournir à la fondation "toutes les informations nécessaires pour identifier toutes les propositions de code connu comme vulnérable provenant de toute expérience de l'UMN".

« Veuillez fournir au public, de manière accélérée, toutes les informations nécessaires pour identifier toutes les propositions de code connu pour être vulnérable de toute expérience de l'Université du Minnesota. Les informations doivent inclure le nom de chaque logiciel ciblé, les informations de commit, le nom supposé de l'auteur, l'adresse e-mail, la date et l'heure, le sujet et/ou le code, afin que tous les développeurs de logiciels puissent rapidement identifier ces propositions et éventuellement prendre des mesures correctives pour ces expériences », exige la lettre signée par Mike Dolan, vice-président senior et directeur général des projets de la Fondation Linux.

En fait, il a toujours été possible d'introduire du mauvais code dans de bons projets open source. Les logiciels open source ne seraient pas intrinsèquement sûrs. C'est plutôt le processus d'open source qui est sûr, et bien que ce processus entre en jeu pendant le développement, les analystes estiment qu'il est sans doute plus efficace après la découverte de vulnérabilités. Cela ne signifie pas que l'open source, en général, ou le noyau Linux, en particulier, est en quelque sorte imperméable aux failles de sécurité. En fait, comme l'a écrit Laura Abbott, contributeur du noyau Linux, les failles sont une procédure opérationnelle standard.

« Le problème avec l'approche adoptée par les auteurs [chercheurs de l'UMN] est qu'elle ne montre rien de particulièrement nouveau. La communauté du noyau est bien consciente de cette lacune depuis un certain temps. Personne n'a besoin d'introduire intentionnellement des bogues dans le noyau, nous sommes parfaitement capables de le faire dans le cadre de notre travail normal. Personnellement, j'ai introduit des bogues comme ceux que les chercheurs ont introduits, non pas parce que je veux détruire le noyau de l'intérieur, mais parce que je ne suis pas infaillible », a-t-elle déclaré.

La Fondation Linux boude la recherche non encadrée sur l'homme

Les "mauvais" correctifs de sécurité soumis par les chercheurs de l'université de l'UMN s'inscrivaient en effet dans le cadre d'une recherche. Bien qu'ils affirment que l'intention de leur projet était d'aider à améliorer le processus d'examen de la sécurité du noyau Linux, c'est la manière dont ils ont mené leur "expérience" qui ne convient pas aux développeurs. Dans une FAQ, les chercheurs ont tout d'abord affirmé qu'ils n'avaient pas demandé l'approbation préalable de l'Institutional Review Board (IRB) de l'université, car le projet n'était pas considéré comme une "recherche sur l'homme".



Dans la lettre, Mike Dolan remet toutefois les pendules à l'heure. « Nous pensons que les expériences sur des personnes sans leur consentement sont contraires à l'éthique, et impliquent probablement de nombreux problèmes juridiques. Les personnes font partie intégrante du processus de révision et de développement des logiciels. Les développeurs du noyau Linux ne sont pas des sujets de test, et ne doivent pas être traités comme tels », écrit Dolan. À la lumière de ces éléments, il demande à l'UMN de retirer le document (le rapport de l'étude) de toute publication officielle.

Dolan a déclaré : « l'article doit être retiré de la publication et de la présentation officielles de tous les travaux de recherche basés sur cette recherche ou sur des recherches similaires où des personnes semblent avoir été soumises à des expériences sans leur consentement préalable. Laisser des informations d'archives publiées sur Internet est acceptable, car elles sont pour la plupart déjà publiques, mais il ne devrait y avoir aucun crédit de recherche pour de tels travaux ». En l'état actuel des choses, l'article a été accepté pour publication par l'IEEE Symposium on Security and Privacy (IEEE S&P) 2021.

L'UMN n'a pas encore répondu à la lettre. Selon les développeurs du noyau, trouver tous ces commits est actuellement un vrai problème. Le développeur principal du noyau Linux, Al Viro, qui a repéré le premier faux correctif d'avril, a fait remarquer : « S'ils avaient pris la peine de joindre la liste (ou un lien vers une telle liste) de SHA1 des commits qui étaient sortis de leur expérience, ou, mieux encore, s'ils avaient maintenu et fourni la liste des identifiants de messages de toutes les soumissions, réussies ou non, ce désordre avec des demandes de retour en arrière générales, etc. aurait été beaucoup plus petit (s'il s'était produit) ».

En l'état actuel des choses, les développeurs et committers de Linux passent leur temps à réviser plusieurs centaines de correctifs du noyau Linux de l'UMN. Dolan a expliqué que le but de tout cela est d'éliminer tout dommage potentiel et perçu de ces activités, d'éliminer tout bénéfice perçu de ces activités et d'empêcher qu'elles ne se reproduisent. « Nous espérons voir à l'avenir des contributions open source productives et appropriées de la part de vos étudiants et de votre faculté, comme nous l'avons vu les années précédentes de la part de votre institution », a-t-il déclaré.

La Fondation Linux souhaite que l'école réponde à ces demandes le plus rapidement possible. Les mainteneurs de Linux veulent également savoir ce qu'il en est des correctifs de l'UMN, afin de pouvoir les trouver et passer à autre chose. Ils préfèrent travailler à l'amélioration de Linux plutôt que de rechercher d'éventuelles erreurs délibérées.

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Linux : Greg Kroah-Hartman refuse les excuses via lettre ouverte des chercheurs impliqués dans le scandale des « commits hypocrites » ou d'introduction secrète de vulnérabilités au noyau

Des chercheurs ont secrètement tenté d'ajouter des vulnérabilités au noyau Linux et ont fini par être bannis

Linus Torvalds annonce la disponibilité de la version 5.12 du kernel Linux, elle apporte la prise en charge de l'hyperviseur ACRN et améliore l'écriture NFS Eager

Linus Torvalds souligne une bonne avancée du langage Rust dans le développement du noyau Linux et aurait qualifié le C++ de « langage de m... », après le message de Google

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 28/04/2021 à 9:16
C'est très borderline et limite illégal du moins du point de vue du droit français. Que l'intension soit bonne ou mauvaise ne change pas l'illégitimité de l'acte. Ils se sont fait gauler sur au moins certains correctifs douteux, il est donc logique que tous leurs correctifs soient considérés comme douteux.
9  0 
Avatar de eomer212
Membre confirmé https://www.developpez.com
Le 23/05/2021 à 13:44
les 'chercheurs' qui ont faits ca , ont juste méprisés au plus haut point les efforts des développeurs et mainteneurs de linux.

ces gens devraient être poursuivis pénalement, pour avoir nuit d'une part à la confiance envers l'université du Minnesota qu'ils ont trompée en utilisant son accréditation à fournir des correctifs au noyau linux,
et aussi nuit à la communauté linux elle même en faisant perdre un temps incalculable aux développeurs.

une sanction exemplaire devrait être prise à l'encontre de ces escrocs.
et pour le moins, les responsables de cette 'étude' , digne de celles qui consistent à étudier comment mieux tuer les baleines en plein moratoire de la chasse à la baleine , devraient être démis de leur poste et aller pointer au chômage!

la preuve que les diplômes universitaires n’empêchent pas d'être de vrais connards au pouvoir de nuisance décuplé.
6  2 
Avatar de Zéolith
Nouveau membre du Club https://www.developpez.com
Le 29/05/2021 à 17:48
C'est bien de faire amende honorable, mais enfin, comme en Assurance Qualité, ce serait bien que ces chercheurs apporte la preuve que leur démarche n'était qu'un test innocent.

Imaginons que le test ait réussi, c'est-à-dire que les failles n'aient pas été décelées. Quelle aurait été la suite ? Publication ... ou non ? Je fais un pas de plus: la CIA agit en sous-main en fait ou est informée par un chercheur en mal de pouvoir et, suite à ce succès, fait introduire un code qui ouvre une porte, fuite des infos, etc.

Pour moi, c'est grave et je ne crois pas à l'erreur d'appréciation.
3  0 
Avatar de Kannagi
Expert éminent sénior https://www.developpez.com
Le 06/05/2021 à 0:05
Citation Envoyé par archqt Voir le message
L'approche est correcte. Mais cela fait perdre du temps au mainteneurs du noyaux donc...Mais comment faire autrement si le but recherché est de vérifier que les mainteneurs travaillent bien ?

Cela montre au moins qu'on ne rajoute pas des bugs facilement dans le noyau.
Cela porte un nom c'est l’éthique , faire des expériences sur les "vrai gens" c'est un peu hors limite.
Il aurait pu tout simplement travailler sur des données actuels (du code refusé sur Linux , doit y'en avoir beaucoup).
Il aurait pu même faire une enquête sur les codes mauvais et voir combien de temps ils ont été refusé/modifié etc etc

Bref leur méthode et leur approche est très discutable pour ma part.
0  0 
Avatar de shunesburg69
Membre du Club https://www.developpez.com
Le 28/05/2021 à 17:02
Ils auront au moins prouvé une chose, on ne peut pas publier des failles aussi facilement que certains essaient de faire croire pour dénigrer les projets libres. On devrait les remercier (mais pas pour autant les ré-autoriser à publier du code).
0  0 
Avatar de Marc_marc
Membre à l'essai https://www.developpez.com
Le 15/09/2023 à 19:35
- je suis partisan de la sécurité, ce qui implique de tester même si ce test peux-être vu comme une perte de temps pour celui qui l'a subit

- cependant qui a le droit de décider ce qui doit être testé ? pouvez-vous déclencher une alerte incendie d'initiative personnelle pour voir comment votre employeur se débrouille ? pouvez-vous lancer une alerte Ã* la bombe pour voir comment les services concernés y font face ? pouvez-vous faire affecter un bouton d'assistance pour voir combien de temps le service met pour le détecter ?
bien évidement que non. donc on ne déclenche pas non plus de test de sécurité informatique impactant le temps des autres sans leur accord (sauf de rare cas que je trouve légitime tel que ceux ayant mis Ã* jour la passoire sécuritaire d'installation de production électrique par ex, ils n'ont causé aucun dégât, même pas une perte de temps, les gars dans la sécu étaient de toute façon au travail a "attendre l'ennemi"
est-ce que le test du noyau linux pourrait être considéré comme une "cause légitime donnant le droit de s’octroyer le droit de lancer le test-chronophage" ? peut-être. mais c'est sûrement pas une cause légitime de tester plusieurs projet open-source puisque lÃ* le but n'est pas de vérifier si "mes données critiques sont-ellles en sécurité avec le noyeau linux ?" mais "testons de l'opensource"

- quand Ã* la méthodologie, ce n'est pas clair. ils affirment que 60% de leurs failles ont été acceptées et affirment en même temps que c'était un échange via email sans aucun merge ni même aucun commit. alors sur quoi se basent-ils pour dire que c'est accepté ? ils ont papoté et un mainteneur a dit "cela a l'air bien ?"
cela n'est pas l'acceptation d'une faille, donc leur taux a l'air d'être 0% (ou leur explication vaut 0)
a l'inverse le lien theverge dit que 3 patchs problématique ont été accepté. le gars aurait fait involontairement 3 mauvais PR pré-étude ?

- c'est quoi ce PR post-étude ? Greg l'assimile Ã* ceux de l'étude, son auteur ne veux pas s'expliquer.

ce manque de transparence et les incohérences ne plaident évidement pas en sa faveur.
J'ai plutôt l'impression que tout ceci n'est qu'un travail d'étudiant qui mérite 0/10 en éthique
0  0 
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 22/05/2021 à 20:32
Bonjour avec un peu de bonne volonté on arrive toujours à résoudre les problèmes....

Comme quoi ils ne sont pas bornés Bravo LINUX (tous ses développeur)
2  3