IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Linux 5.13 apportera les correctifs des bogues créés par l'université du Minnesota,
Il aura fallu plus de 80 développeurs pour examiner et corriger les « commits hypocrites »

Le , par Bruno

138PARTAGES

27  0 
Le responsable de Linux Greg Kroah-Hartman a envoyé une demande de modification de la version 5.13 du noyau Linux pour faire face au chagrin causé par les chercheurs de l'université du Minnesota. Il y a un mois, l'Université s'est vu interdire de contribuer au noyau Linux lorsqu'il a été révélé que les chercheurs de l'université essayaient de soumettre intentionnellement des bogues dans le noyau via des correctifs en tant que « commits hypocrites » dans le cadre d'un document de recherche douteux. Les développeurs du noyau Linux ont finalement terminé la révision de tous les correctifs de l'université du Minnesota afin de résoudre les fusions problématiques dans le noyau et de nettoyer ou corriger les correctifs qui font problème.

Avec plus de 28 millions de lignes de code, le noyau Linux est l'un des plus grands projets logiciels de l'histoire moderne. Des contributeurs du monde entier et de différents domaines soumettent chaque jour un grand nombre de correctifs aux responsables du noyau Linux, afin qu'ils soient examinés avant d'être officiellement fusionnés avec l'arborescence officielle du noyau Linux. Cependant, pour des besoins d’expérimentation, des chercheurs de l'Université américaine du Minnesota ont choisi de soumettre des correctifs contenant furtivement des vulnérabilités de sécurité au noyau Linux et ils ont été pris la main dans le sac par les responsables du noyau Linux.


Ces derniers rédigeaient un document de recherche sur la possibilité de soumettre des correctifs à des projets open source contenant des vulnérabilités de sécurité cachées afin de mesurer scientifiquement la probabilité que ces correctifs soient acceptés et fusionnés. Ils ont utilisé le noyau Linux comme l'une de leurs principales expériences, en raison de sa réputation bien connue et de son adaptation dans le monde entier. Quelques jours après qu’ils aient été pris par les responsables du noyau Linux et ont été publiquement humiliés, l’université sous le coup d’un bannissement s’est excusée.

« Notre objectif était d'identifier les problèmes liés au processus d'application des correctifs et les moyens de les résoudre et nous sommes désolés que la méthode utilisée dans l'article sur les "commits hypocrites" ait été inappropriée. Comme de nombreux observateurs nous l'ont fait remarquer, nous avons commis une erreur en ne trouvant pas le moyen de consulter la communauté et d'obtenir sa permission avant de réaliser cette étude ; nous l'avons fait parce que nous savions que nous ne pouvions pas demander la permission aux mainteneurs de Linux, sinon ils seraient à l'affût des correctifs soumis dans le cadre de notre étude. Bien que notre objectif était d'améliorer la sécurité de Linux, nous comprenons maintenant qu'il était blessant pour la communauté d'en faire un sujet de recherche et de gaspiller ses efforts en examinant ces correctifs à son insu et sans sa permission », avait indiqué l’Université dans une lettre d’excuse rendue publique.

« Nous voulons simplement que vous sachiez que nous ne ferions jamais de mal de façon intentionnelle à la communauté du noyau Linux et que nous n'introduisons jamais de failles de sécurité. Notre travail a été mené avec les meilleures intentions du monde et consiste à trouver et à corriger les failles de sécurité... Nous sommes une équipe de recherche dont les membres consacrent leur carrière à l'amélioration du noyau Linux. Nous nous efforçons de trouver et de corriger les vulnérabilités de Linux depuis cinq ans... Bien que cette situation ait été douloureuse pour nous aussi et que nous soyons sincèrement désolés pour le travail supplémentaire que la communauté du noyau Linux a entrepris, nous avons tiré de cet incident des leçons importantes sur la recherche avec la communauté open source. Nous pouvons faire mieux et nous le ferons et nous pensons que nous avons beaucoup à apporter à l'avenir et nous travaillerons dur pour regagner votre confiance », avait-elle ajouté.

La réponse du responsable du noyau Linux n’était pas moins explicite que la lettre d’excuse. « Merci pour votre réponse. Comme vous le savez, la Fondation Linux et le conseil consultatif technique de la Fondation Linux ont soumis une lettre vendredi à votre université décrivant les actions spécifiques qui doivent être entreprises pour que votre groupe, et votre université, puissent travailler à regagner la confiance de la communauté du noyau Linux. Jusqu'à ce que ces actions soient entreprises, nous n'avons plus rien à discuter sur ce sujet. Merci », avait-il répondu.

Quelques jours après le refus des excuses des chercheurs impliqués dans le scandale des « commits hypocrites » qui a éclaboussé la communauté Linux, la Fondation Linux aurait adressé un certain nombre de demandes à l'Université du Minnesota auxquelles elle doit répondre avant que son personnel ne soit autorisé à contribuer à nouveau au noyau. La fondation exige que l'Université du Minnesota lui fournisse « toutes les informations nécessaires pour identifier toutes les propositions de code vulnérable connu de toute son expérience ».

« Veuillez fournir au public, de manière accélérée, toutes les informations nécessaires pour identifier toutes les propositions de code connu pour être vulnérable de toute expérience de l'Université du Minnesota. Les informations doivent inclure le nom de chaque logiciel ciblé, les informations de commit, le nom supposé de l'auteur, l'adresse e-mail, la date et l'heure, le sujet et/ou le code, afin que tous les développeurs de logiciels puissent rapidement identifier ces propositions et éventuellement prendre des mesures correctives pour ces expériences », exige la lettre signée par Mike Dolan, vice-président senior et directeur général des projets de la Fondation Linux.

Cette nouvelle collaboration semble avoir porté des fruits positifs. En effet, les développeurs du noyau Linux auraient finalement terminé la révision de tous les correctifs de l'Université du Minnesota afin de résoudre les fusions problématiques dans le noyau et de nettoyer ou corriger leurs correctifs qui faisaient problème. Envoyé jeudi par Greg Kroah-Hartman, il s'agissait de correctifs char/misc pour la version 5.13-rc3 du noyau Linux. Alors que les corrections char/misc à ce stade intermédiaire du cycle du noyau ont tendance à ne pas être trop excitantes, cette demande de retrait contient les changements pour traiter les correctifs des chercheurs de l'Université du Minnesota.

Greg a reconnu que : « la majorité de ces modifications sont les retombées du réexamen par l'Université du Minnesota de toutes les soumissions précédentes. Cela a entraîné un grand nombre de retours en arrière ainsi que des modifications, de sorte qu'il n'y a aucune régression des corrections potentielles apportées par ces personnes ». « Je tiens à remercier les plus de 80 développeurs différents qui ont participé à la révision et à la correction de ce problème », a-t-il mentionné.

Cependant, des questions subsistent quant aux processus en coulisses, comme celles posées par Filipo Valsorda, cryptographe et ingénieur logiciel, concernant la prise de décisions de confiance sur la base des domaines de messagerie. Un mois plus tard, son point de vue reste valable : « C'est peut-être une opinion impopulaire, mais je pense que "ne fusionner les choses qu'après avoir vérifié qu'elles sont valides" devrait peut-être être la politique par défaut du logiciel le plus utilisé au monde », a-t-il indiqué sur son compte tweeter.

Source : Liste de diffusion

Et vous ?

Que pensez-vous de cette avancée sur le sujet ?

Voir aussi :

Des chercheurs ont secrètement tenté d'ajouter des vulnérabilités au noyau Linux, et ont fini par être bannis

Linux : Greg Kroah-Hartman refuse les excuses via lettre ouverte des chercheurs impliqués dans le scandale des « commits hypocrites », ou d'introduction secrète de vulnérabilités au noyau

La Fondation Linux veut des détails sur toutes les contributions au noyau Linux faites par l'université du Minnesota, avant qu'elle ne soit autorisée à contribuer à nouveau au noyau

Linus Torvalds annonce la disponibilité de la version 5.12 du kernel Linux, elle apporte la prise en charge de l'hyperviseur ACRN et améliore l'écriture NFS Eager

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de eomer212
Membre confirmé https://www.developpez.com
Le 23/05/2021 à 13:44
les 'chercheurs' qui ont faits ca , ont juste méprisés au plus haut point les efforts des développeurs et mainteneurs de linux.

ces gens devraient être poursuivis pénalement, pour avoir nuit d'une part à la confiance envers l'université du Minnesota qu'ils ont trompée en utilisant son accréditation à fournir des correctifs au noyau linux,
et aussi nuit à la communauté linux elle même en faisant perdre un temps incalculable aux développeurs.

une sanction exemplaire devrait être prise à l'encontre de ces escrocs.
et pour le moins, les responsables de cette 'étude' , digne de celles qui consistent à étudier comment mieux tuer les baleines en plein moratoire de la chasse à la baleine , devraient être démis de leur poste et aller pointer au chômage!

la preuve que les diplômes universitaires n’empêchent pas d'être de vrais connards au pouvoir de nuisance décuplé.
6  2 
Avatar de Zéolith
Nouveau membre du Club https://www.developpez.com
Le 29/05/2021 à 17:48
C'est bien de faire amende honorable, mais enfin, comme en Assurance Qualité, ce serait bien que ces chercheurs apporte la preuve que leur démarche n'était qu'un test innocent.

Imaginons que le test ait réussi, c'est-à-dire que les failles n'aient pas été décelées. Quelle aurait été la suite ? Publication ... ou non ? Je fais un pas de plus: la CIA agit en sous-main en fait ou est informée par un chercheur en mal de pouvoir et, suite à ce succès, fait introduire un code qui ouvre une porte, fuite des infos, etc.

Pour moi, c'est grave et je ne crois pas à l'erreur d'appréciation.
3  0 
Avatar de shunesburg69
Membre du Club https://www.developpez.com
Le 28/05/2021 à 17:02
Ils auront au moins prouvé une chose, on ne peut pas publier des failles aussi facilement que certains essaient de faire croire pour dénigrer les projets libres. On devrait les remercier (mais pas pour autant les ré-autoriser à publier du code).
0  0 
Avatar de Marc_marc
Membre à l'essai https://www.developpez.com
Le 15/09/2023 à 19:35
- je suis partisan de la sécurité, ce qui implique de tester même si ce test peux-être vu comme une perte de temps pour celui qui l'a subit

- cependant qui a le droit de décider ce qui doit être testé ? pouvez-vous déclencher une alerte incendie d'initiative personnelle pour voir comment votre employeur se débrouille ? pouvez-vous lancer une alerte Ã* la bombe pour voir comment les services concernés y font face ? pouvez-vous faire affecter un bouton d'assistance pour voir combien de temps le service met pour le détecter ?
bien évidement que non. donc on ne déclenche pas non plus de test de sécurité informatique impactant le temps des autres sans leur accord (sauf de rare cas que je trouve légitime tel que ceux ayant mis Ã* jour la passoire sécuritaire d'installation de production électrique par ex, ils n'ont causé aucun dégât, même pas une perte de temps, les gars dans la sécu étaient de toute façon au travail a "attendre l'ennemi"
est-ce que le test du noyau linux pourrait être considéré comme une "cause légitime donnant le droit de s’octroyer le droit de lancer le test-chronophage" ? peut-être. mais c'est sûrement pas une cause légitime de tester plusieurs projet open-source puisque lÃ* le but n'est pas de vérifier si "mes données critiques sont-ellles en sécurité avec le noyeau linux ?" mais "testons de l'opensource"

- quand Ã* la méthodologie, ce n'est pas clair. ils affirment que 60% de leurs failles ont été acceptées et affirment en même temps que c'était un échange via email sans aucun merge ni même aucun commit. alors sur quoi se basent-ils pour dire que c'est accepté ? ils ont papoté et un mainteneur a dit "cela a l'air bien ?"
cela n'est pas l'acceptation d'une faille, donc leur taux a l'air d'être 0% (ou leur explication vaut 0)
a l'inverse le lien theverge dit que 3 patchs problématique ont été accepté. le gars aurait fait involontairement 3 mauvais PR pré-étude ?

- c'est quoi ce PR post-étude ? Greg l'assimile Ã* ceux de l'étude, son auteur ne veux pas s'expliquer.

ce manque de transparence et les incohérences ne plaident évidement pas en sa faveur.
J'ai plutôt l'impression que tout ceci n'est qu'un travail d'étudiant qui mérite 0/10 en éthique
0  0 
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 22/05/2021 à 20:32
Bonjour avec un peu de bonne volonté on arrive toujours à résoudre les problèmes....

Comme quoi ils ne sont pas bornés Bravo LINUX (tous ses développeur)
2  3