
Marak Squires, l'auteur de deux bibliothèques JavaScript avec plus de 21 000 applications dépendantes et plus de 22 millions de téléchargements hebdomadaires, a mis à jour ses projets à la fin de la semaine dernière après qu'ils soient restés inchangés pendant plus d'un an. Les mises à jour contenaient du code pour produire une boucle infinie qui provoquait l'affichage du charabia des applications dépendantes, précédé des mots « Liberty Liberty Liberty ».
Squires n'a fourni aucune raison pour avoir agi de la sorte, mais un fichier lisez-moi de faker.js a également été remplacé par « Que s'est-il réellement passé avec Aaron Swartz ? » Swartz était un développeur de premier plan qui a aidé à établir Creative Commons, RSS et Reddit. En 2011, Swartz a été accusé d'avoir volé des documents de la base de données académique JSTOR dans le but de les rendre libres d'accès. Militant impliqué dans les grandes causes comme la neutralité du Net, il s’était opposé aux lois SOPA et PIPA (équivalentes de la Hadopi aux États-Unis). Aaron Swartz s’est suicidé en janvier 2013. Sujet aux épisodes dépressifs, il était sous le coup d’une procédure légale lourde. Il encourait pas moins de 4 millions de dollars d’amende et 30 ans de prison pour avoir cracké et dérobé 4 millions de documents académiques du MIT et du site Jstor. Un acte réalisé au nom du libre accès à la connaissance.
Un acte qui lui valait également l'accusation de "crime" ("felony"

Aaron Swartz refusait obstinément d’accepter ce terme, d'après son collègue Lawrence Lessig. Un refus qui, après 18 mois de négociations, allait donc déboucher sur un procès aux peines potentiellement très sévères.
En réaction à sa mort, plusieurs professeurs du MIT ont décidé d’honorer son combat – qu’ils soutiennent – en mettant en ligne des PDF de leurs travaux pour lutter contre le copyright sur les articles universitaires. En plus de ces professeurs, le MIT a également – officiellement et en tant qu’institution – décidé de mener une enquête interne pour déterminer comment l’école de Boston avait agi, dans le détail, depuis le début de l’affaire des « vols » de documents. Et si ses décisions n’avaient pas été disproportionnées.
En même temps qu'il incluait la référence de Swartz dans le fichier Lisez Moi, Squires a également tweeté ces mêmes mots et a inclus un lien vers un fil de discussion affirmant que Swartz a été assassiné après avoir découvert de la pornographie pédopornographique sur les serveurs du MIT. Ce message désormais supprimé (mais disponible sur Web Archive - voir source), inclus dans le fil, indiquait :
« Non, ce n'est pas Aaron Swartz qui devrait être jugé, mais cette haute institution d'apprentissage salarié, le MIT, qui est responsable des crimes odieux qui ont conduit à sa mort. Les risques pris par Swartz, qui ont ainsi menacé le MIT, ne peuvent être compris qu'à travers la question de la pornographie juvénile orchestrée et produite par ses professeurs acclamés et distribuée à leurs riches et puissants sponsors. Les cyberproxénètes du MIT s'adressent à une clientèle qui comprend le plus haut échelon du département d'État, de grandes entreprises, des agences de renseignement, des militaires et la Maison-Blanche.
Chaque élément de l'affaire Swartz indique qu'il est mort dans une tentative héroïque d'exposer la perversion qui a corrompu les cœurs et les esprits de l'élite mondiale, un vice odieux et souvent meurtrier qui traumatise les enfants innocents et menace chaque famille sur cette planète.
Cette exposition des faits est un chemin tortueux qui mène des halls sacrés du lierre à Boston à la périphérie de Phnom Penh, où un professeur de renommée mondiale a organisé des services sexuels pour mineurs pour des dignitaires en visite et a envoyé de la pornographie juvénile cryptée par satellite à des bases de données illicites sur le campus du MIT.
Nicholas Negroponte, tu n'as plus d'endroit où te cacher en Asie du Sud-Est ou en Afrique, plus maintenant. Vous êtes sous surveillance et serez traqué sans relâche, non seulement pour pédopornographie et proxénétisme, mais désormais en tant que complice de meurtre. Votre seule issue est de retourner les fichiers vidéo avec la liste complète des noms, et vous feriez mieux de le faire le plus tôt possible, car les puissants pédophiles de cette liste vont vous faire taire pour couvrir leurs propres traces ».
Il existe également des preuves que Squires a peut-être été accusé il y a deux ans de mise en danger imprudente après avoir prétendument déclenché un incendie dans son appartement du Queens, à New York. Selon des articles de presse, un homme alors âgé de 37 ans, Marak Squires, a été arrêté après avoir été emmené à l'hôpital après que les autorités l'auraient observé agir de manière erratique alors qu'ils répondaient à l'incendie.
Les articles disaient que Squires était un développeur de logiciels et un des premiers investisseurs en bitcoins. Un mois après l'incendie, Squires a rapporté sur Twitter avoir « perdu toutes mes affaires dans un incendie d'appartement » et a demandé un soutien financier.
Le sabotage des bibliothèques soulève des inquiétudes quant à la sécurité de la chaîne d'approvisionnement logicielle qui est cruciale pour un grand nombre d'organisations, y compris les entreprises Fortune 500. Les deux bibliothèques sabotées, Faker.js et Colors.js, ont créé des problèmes pour les personnes utilisant le kit de développement cloud d'Amazon. Les grandes entreprises, disent les critiques depuis longtemps, profitent des écosystèmes open source sans rémunérer adéquatement les développeurs pour leur temps. À leur tour, les développeurs responsables du logiciel sont injustement mis à rude épreuve.
En effet, Squires a déclaré en 2020 qu'il ne soutiendrait plus les grandes entreprises avec un travail qu'il effectue gratuitement. « Profitez de cette occasion pour m'envoyer un contrat annuel à six chiffres ou forkez le projet et demandez à quelqu'un d'autre de travailler dessus », a-t-il écrit.
La capacité d'un seul développeur à mettre un frein à une base d'applications aussi vaste met en évidence une faiblesse fondamentale de la structure actuelle des logiciels libres et open source. Ajoutez à cela les ravages causés par des vulnérabilités de sécurité négligées dans les applications open source largement utilisées et vous avez une recette pour un désastre potentiel.
Sources : Web Archive, Marak Squires (1, 2), fichier lisez-moi de faker.js