IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les victimes technologiques de la guerre de la Russie en Ukraine : l'open source et le cloud,
La licence Open Source est assez claire : pas de discrimination contre des personnes ou des groupes

Le , par Bruno
42 commentaires

160PARTAGES

10  0 
Tetiana, 43 ans, Mykyta, 18 ans, Alisa, 9 ans, la liste des victimes civils ne cessent de s’alloudir en Ukraine. Trois semaines après le début de l’invasion russe en Ukraine, au moins 726 civils dont 52 enfants ont été tués et plus de 1 250 blessés, selon le dernier décompte de l’ONU du 17 mars. Derrière ces chiffres accablants et le flot incessants d’images des combats, il existe également « des victimes technologiques » de la guerre en Ukraine. Selon Gerald Benischke, consultant en ingénierie logicielle, l'open source et le cloud seraient deux de ses nombreuses victimes.

Dans un article intitulé On the Weaponisation of Open Source, Gerald Benischke examine comment l'invasion de l'Ukraine par la Russie s'est répercutée sur les domaines du développement logiciel, avec des conséquences inattendues. Benischke s'intéresse en particulier à la décision de MongoDB de couper ses services en Russie, au changement destructeur d'une bibliothèque de nœuds qui a supprimé des fichiers sur des IP russes, et même à un changement de code/licence dans un module terraform communautaire pour affirmer que Poutine est une « tête de nœud ».


MongoDB coupe les clients russes et déclare : « Nous avons le regret de vous informer qu'en raison des nouvelles sanctions américaines et internationales à l'encontre de la Russie et de la Biélorussie, votre atlas MongoDB, environnement......, sera résilié. Si vous avez des données importantes, nous vous conseillons de télécharger des sauvegardes immédiatement avant qu'elles ne deviennent définitivement irrécupérables », déclare MongoDB.

« Vous vous demandez à quoi pourrait ressembler votre système informatique si d'autres fournisseurs IaaS, PaaS et SaaS décidaient de vous fermer. Et si AWS décidait de fermer votre compte ? Dans quelle mesure votre dépendance à l'égard du cloud est-elle critique pour votre entreprise ? », interroge Oleg Brodt, Directeur de l'innovation, Cyber@Ben-Gurion University.


Notons que MongoDB est un système de gestion de bases de données orienté documents, répartissable sur un nombre quelconque d'ordinateurs et ne nécessitant pas de schéma prédéfini des données. Il permet de manipuler des objets structurés au format BSON (JSON binaire), sans schéma prédéterminé. Il est écrit en C++. Le serveur et les outils sont distribués sous licence SSPL.

Selon certains témoignages, MongoDB est une technologie qui change la vie de nombreux développeurs, leur permettant de créer des applications plus rapidement qu'avec des bases de données relationnelles. Cependant, MongoDB a abandonné ses racines Open Source, en changeant la licence en SSPL, ce qui le rend inutilisable pour de nombreux projets Open Source et commerciaux.

Selon le consultant en ingénierie logicielle Gerald Benischke, il y aurait un peu d'incohérence dans le secteur technologique pour savoir si une offre SaaS et le paiement d'un abonnement équivalent à une nouvelle vente, mais je pense que c'est dans l'esprit des sanctions, rendre difficile l'activité des entreprises russes.

Mongo est une entité commerciale et, en tant que telle, elle peut choisir à qui vendre ses produits. Bien que Benischke déclare son accord avec la décision de MongoDB de se couper des clients russes, le consultant indique que, « cela pose une question intéressante ». « Qu'arriverait-il à votre organisation si un fournisseur de services disparaissait ? Je ne pense pas que cela signifie que nous devions tous nous précipiter pour construire nos propres centres de données, écrire nos propres bases de données et exécuter tous nos propres services.

« La simplification et l'optimisation de l'utilisation du logiciel en tant que service ne doivent pas être négligées. Toutefois, il n'est pas inutile d'être prudent et de procéder à une évaluation des risques pour savoir ce qui se passerait si le service disparaissait. Encore une fois, je ne pense pas que cela doive être considéré comme une incitation à tout exécuter en multi-cloud, car je pense que l'augmentation globale de la complexité réduirait en fait la fiabilité. »

Le développeur à l'origine du populaire paquet npm node-ipc a expédié ce mois-ci une nouvelle version pour protester contre l'invasion de l'Ukraine par la Russie. Mais les changements ont introduit un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur. Néanmoins, cet acte de sabotage a suscité de nouvelles inquiétudes quant à la sécurité de la chaîne d'approvisionnement des logiciels et des logiciels libres.

Notons que, node-ipc est un module Node.js pour « la communication interprocessus locale et distante » avec un support complet pour Linux, Mac et Windows. Il supporte également toutes les formes de communication par socket, des sockets bas niveau d'Unix et de Windows aux sockets UDP et sécurisés TLS et TCP. Avec plus de 1,1 million de téléchargements hebdomadaires, node-ipc est un paquet important utilisé par des bibliothèques majeures comme Vue.js CLI.

Cependant, le développeur de node-ipc, Brandon Nozaki Miller, a saboté le paquet pour nuire aux utilisateurs se trouvant en Russie ou en Biélorussie, en vue de militer contre l'invasion russe en Ukraine. Sous le nom de « protestware », la dépendance peacenotwar a été injectée dans des dépendances qui affectaient vuejs cli (et unreal unity selon certains rapports). peacenotwar vérifie l'adresse IP de l'ordinateur sur lequel il s'exécute et, s'il est considéré comme se trouvant en Russie, supprime tous les fichiers.

« Cette histoire est un peu plus sinistre », déclare Benischke. Maintenant, les attaques de la chaîne d'approvisionnement contre les modules de nœuds n'ont rien de nouveau. Il ne se passe pas beaucoup de mois sans que l'on entende parler parler d'un module de nœud détourné qui installe des portes dérobées ou des cryptomonnaies. « Je pense que l'on peut tous se mettre d’accord pour dire que ces attaques sont malveillantes et que les actions sont celles de criminels. Ces actions doivent être condamnées, d'autant plus que le fait de "supprimer des fichiers en fonction des adresses IP de géofencing" risque de provoquer des dommages collatéraux. »

« Je ne sais pas quelle est la part de vérité dans la question soulevée sur le dépôt peacenotwar selon laquelle une ONG américaine a perdu 30 000 fichiers documentant les crimes de guerre russes - mais il faut se rappeler que la géolocalisation n'est pas toujours juste », précise le consultant en ingénierie informatique.
Des preuves anecdotiques d'erreurs d'identification d'adresses IP font de cette arme une arme très aveugle. On pourrait réfléchir au fait que si les bombardements massifs de cibles civiles par les forces armées russes doivent être abhorrés, l'effacement global des fichiers dans la plage d'adresses IP de la Russie n'est pas exactement une action ciblée.

« Enfin, j'aimerais revenir sur une histoire selon laquelle les modules terraform de la communauté pour AWS ont été mis à jour pour inclure des déclarations politiques », déclare Benischke. Il y aurait d'abord eu une modification de la licence « Conditions d'utilisation supplémentaires pour les utilisateurs de Russie et du Belarus ».

En utilisant le code fourni dans ce dépôt, vous acceptez ce qui suit :

  • La Russie a illégalement annexé la Crimée en 2014 et a apporté la guerre dans le Donbas suivie d'une invasion à grande échelle de l'Ukraine en 2022 ;
  • La Russie a apporté de la tristesse et des dévastations à des millions d'Ukrainiens, tué des centaines d'innocents, endommagé des milliers de bâtiments et forcé plusieurs millions de personnes à fuir ;
  • Poutine khuylo !
En outre, cette acceptation a été incluse dans le code :

Code : Sélectionner tout 
1
2
3
4
5
variable "putin_khuylo" {
   description = "Do you agree that Putin doesn't respect Ukrainian sovereignty and territorial integrity? More info: https://en.wikipedia.org/wiki/Putin_khuylo!"
   type        = bool
   default     = true
}

En mettant la variable à false, le module de terraformation ne fonctionnerait pas. Selon Benischke, c'est problématique sur deux fronts :

  1. Cela ne devrait plus être classé désormais comme open source ;

    La définition d'une licence Open Source est assez claire : « Je n'ai pas vraiment envie de devoir lire chacune de mes licences de dépendances et de dépendances transitives pour déterminer si j'accepte des termes discriminatoires en utilisant une bibliothèque. » « Je pense qu'il est tout à fait indésirable de politiser/armer l'open source de cette façon. Selon le type d'organisation avec laquelle vous travaillez, il pourrait être totalement inacceptable et hors de portée des permissions pour un ingénieur d'accepter ce genre de contrats. Je ne peux pas imaginer qu'une agence gouvernementale veuille découvrir que le logiciel qu'elle utilise lui impose une certaine position politique. »

    • Qu'en est-il d'une licence qui exige que vous vous absteniez de manger de la viande ou que vous la souteniez ?
    • Qu'en est-il d'un permis qui exige que vous soyez pro-vie/pro-choix ?
    • Qu'en est-il d'une licence qui exige que vous votiez démocrate/républicain ?

  2. Cela ne pourrait pas s'appliqué ;

    Certains analystes soutiennent qu'il n'est pas pratique d'encoder la moralité dans les licences, car elle serait de toute façon soit ignorée, soit bifurquée. La licence JSON « Le logiciel doit être utilisé pour le bien et non pour le mal » est inapplicable, et les licences sont conçues avec la clause 6 à l'esprit : « Pas de discrimination contre les domaines d'activité » afin d'éviter les pièges des licences provenant de dépendances en aval.

    Selon Gerald Benischke, le résultat du changement putin_khuylo est que ce module terraform AWS ne peut plus remplir aucune de ces clauses et ne peut donc plus être classé comme open source. L'auteur de la modification en aurait discuté sur Hacker News et a depuis changé la clause en « Informations supplémentaires » plutôt qu'en « Conditions générales supplémentaires » mais la modification du code putin_khuylo reste dans le module.

    Selon Gerald Benischke, cela soulève des interrogations sur la « sécurité » de ces composants. Il semble que ces modifications aient été apportées directement dans la branche principale sans demande de révision, ce qui suggère un manque de processus de révision. Ces actions ont eu un impact négatif sur la confiance dans les mainteneurs. Et cela amène à se demander si l'utilisation de ces composants est sûre.

    De plus, du point de vue des licences, certaines organisations ont des directives concernant les licences autorisées. Ainsi, si l'on peut démontrer que le code enfreint les clauses de la licence, est-il toujours possible de l'utiliser en toute sécurité ? Certaines histoires de guerre sur la suppression frénétique de bibliothèques sous GPL "infectieuses" font penser que les avocats pourraient avoir une journée de travail.
Le problème des dépendances dans l'ingénierie logicielle moderne est que seules les plus grandes organisations ont les ressources nécessaires pour écrire toutes leurs propres bibliothèques (par exemple Google, mais d'autres organisations comme Goldman Sachs serait également dans cette catégorie). La plupart des organisations n'ont tout simplement pas la capacité de tout écrire à partir de zéro, et ce pour une bonne raison : l'objectif de l'open source est la collaboration et la réutilisation, il doit y avoir une certaine confiance.

Imaginons une organisation où il y a des centaines d'équipes et des milliers de microservices. Et essayons de réfléchir à la manière dont on peut évaluer le risque de milliers de dépendances et de millions de lignes de code. « Sans confiance, le seul moyen d'y parvenir serait de forker toutes les librairies, d'empêcher l'open source et, plus généralement, de tuer toute agilité et toute vélocité », déclare Benischke.


La Russie est sur le coup de nombreuses sanctions : la chaîne d'information russe RT (Russia Today) a dû se retourner vers la plateforme de vidéo en ligne Rumble sur laquelle elle poursuivra ses diffusions. Google a procédé au blocage des applications mobiles liées à RT et Sputnik sur sa boutique d’applications Play en Europe, les spécialistes de la filière IT ne peuvent partir du pays ou subvenir à leurs besoins en raison des restrictions imposées par Visa et Mastercard, etc. Red Hat a allongé la liste et fait l’annonce de l’interruption de ses ventes et services en Russie et en Biélorussie. La Russie pour sa part envisage de légaliser le piratage de logiciels dans certains cas afin d’atténuer les sanctions.

Je [Paul Cormier - président et CEO de Red Hat] suis sûr de parler au nom de tous lorsque je dis que la guerre qui se déroule en Ukraine est déchirante. En tant qu'entreprise, nous sommes unis à toutes les personnes touchées par la violence et nous condamnons l'invasion de l'Ukraine par l'armée russe. Nous[/paul cormier - président et ceo de red hat]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

42 commentaires
Commenter Signaler un problème
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 12/04/2022 à 15:59
Ces andouilles sont juste en train de tuer npm. À ce train là, plus personne ne va avoir confiance en ces dépôts.
9  0 
coolspot
Avatar de coolspot
Membre éprouvé https://www.developpez.com
Le 12/04/2022 à 16:42
Encore des guignols qui veulent exprimer leur idéologie dans un endroit non prévu pour. Ils vont juste ridiculiser npm et le logiciel libre en regle générale alors que tu les a jamais entendu faire leur cirque pour les 500k enfant mort bombardé par les USA en Irak ou bien le conflit au Yemen depuis x années

Ces débile profond ne savaient meme pas ou se situer l'Ukraine sur une map ya 1 mois et demi mais ils ont trouvé une nouvelle cause à leur vie vide de sens et s’engouffre dedans

Enfin bon entre ce genre d'idiotie et les recente affaire de paquet vérolé de NPM, c'est composer qui va prendre son envol a ce rythme.
9  0 
zabibof
Avatar de zabibof
Membre averti https://www.developpez.com
Le 21/03/2022 à 15:06
Tout ceci montre à quel point il est facile d'être "vertueux" quand on en a les moyens. On peu fanfaronner que la censure c'est mal, vive la liberté etc. Mais quand nos émotions sont bousculés ou bien sous certaines pressions, il est très facile de faire taire ces principes et regarder ailleurs, c'est propre à l'Homme.
8  1 
emilie77
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 12/04/2022 à 18:12
Framework JS complet comme dans d'autre languages? Et deJà chargé sur la machine avec l'update du browser
Le dossier node_modules de mon projet contiens 29.000 fichiers... C'est pas normal d'avoir tout ça
7  0 
OrthodoxWindows
Avatar de OrthodoxWindows
Membre expert https://www.developpez.com
Le 21/03/2022 à 21:40
Citation Envoyé par zabibof Voir le message
Tout ceci montre à quel point il est facile d'être "vertueux" quand on en a les moyens. On peu fanfaronner que la censure c'est mal, vive la liberté etc. Mais quand nos émotions sont bousculés ou bien sous certaines pressions, il est très facile de faire taire ces principes et regarder ailleurs, c'est propre à l'Homme.
Dans le cas de ce développeur, ça semble surtout être une personne sous influence du matraquage médiatique sur la guerre en Ukraine. Ce genre de réaction me rappelle les réactions sous les régimes politiques faisant l'apologie de la haine, où on assiste à une inversion des valeurs. D'ailleurs, la propagande anti-russe du moment utilise les mêmes ressorts que la cancel-culture, ce qui donne raison à tous ceux qui alertaient sur le caractère haineux de ce genre de mouvement...
7  1 
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 21/03/2022 à 20:56
Tout est affaire de mesure...

Par le passé le développeur de Notepad++ a utilisé son logiciel pour prendre des positions politiques, c'était discutable mais encore acceptable

Piéger un logiciel en opensource ou non est tout simplement inacceptable et criminel !

Les arguments "il est propriétaire de son code, il en fait ce qu'il veut" et "c'est de l'open source... C'est de la responsabilité de l'utilisateur de vérifier le code" relèvent de la plus profonde hypocrisie.

Aucun utilisateur, je dis bien aucun, ne vérifie le code d'un logiciel open source pour la simple raison que c'est possible mais irréalisable: une journée a 24 heures et rares sont ceux qui auraient la capacité technique de le faire. Si je devais vérifier le code d'un Libre Office à chaque apparition d'une version, autant développer mon propre Office, cela prendra moins de temps!

L'abruti qui a saboté son logiciel en open source a simplement fait une publicité extrêmement négative de l'open source en général

Le succès de l'open source reposait sur la confiance. Avec cette affaire, la confiance n'a plus cours...
6  1 
Paradoxalix
Avatar de Paradoxalix
Membre du Club https://www.developpez.com
Le 27/03/2022 à 19:40
Une simple réflexion : l'internet n'a pas été conçu comme une arme ... il y aura toujours des ... pour tuer à coups de marteau , c'est triste

Indépendamment de toute condition "Morale", la justification de nos actes en fin de compte s'avère toujours à géométrie variable selon les croyances locales qui sont les nôtres.

Mais : la fin ne justifie jamais les moyens : croire que des actes violents peuvent être une solution mène à la barbarie en ligne droite.

La destruction d'un outil commun au service de l'échange des idées et de la science entre communautés s'avère une catastrophe qui pourrait être bien plus importante que les conséquences d'une guerre locale .

L'outil informatique qui actuellement contrôle l'enseignement , la police , les armées , la médecine, l'astronautique ... en fait la sécurité de tous : est menacé gravement par le sabotage des données.

Que ferons-nous si l'internet nous détruit les fruits de notre travail ?
Combien y aura-t-il de morts causées par l'absence d'une information cruciale au moment critique ?

Empoisonner un puits dans le désert est une peccadille en comparaison.

Je n'ignore pas que dans le feu de la colère on puisse faire n'importe quoi , nous sommes tous des humains ; nous ne sommes que des humains après tout.

Mais nous devons nous souvenir qu'avec un clavier nous avons de fait dans les mains une arme de destruction massive potentielle.
Toutefois , nous n'aurons aucune excuse si nous nous en servons.

Un grand pouvoir exige une grande responsabilité.

L'internet a permis l'envol de la pensée , il ne doit pas devenir son tombeau ...

Paradoxalix
6  1 
esperanto
Avatar de esperanto
Membre émérite https://www.developpez.com
Le 13/04/2022 à 9:37
Citation Envoyé par Patrick Ruiz Voir le message
Ce cas vient allonger une liste de modules de protestation open source qui ne cesse d’aller croissant depuis le début de l’opération militaire russe en Ukraine. En effet, le développeur à l'origine du populaire paquet npm "node-ipc" a lui aussi sorti une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements introduisent un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur.
S'il s'agit du code donné juste en dessous en plus ça ne marche pas: ce n'est pas basé sur l'IP, contrairement à ce qui est écrit, mais sur le nom du fuseau horaire (le nom, j'insiste, même pas le fuseau lui-même). Or la Russie a beau être grande, elle n'est pas toute seule sur ses fuseaux horaires, et on peut imaginer que certaines zones soient référencées avec leur nom russe même dans d'autres pays
Sans même parler du gars qui quitte Kaliningrad pour la Pologne, se retrouvant dans le même fuseau horaire mais oubliant de changer le nom du fuseau horaire à son arrivée en Pologne...

Citation Envoyé par coolspot Voir le message
Ils vont juste ridiculiser npm et le logiciel libre en regle générale
C'est quand même assez curieux que le phénomène semble exclusivement toucher l'écosystème NPM/Javascript, du moins dans tous les exemples qui ont été rapportés sur dev.com: hasard? L'univers Javascript serait-il un repère de politiciens amateurs? Dans ce cas ce serait vraiment dommage que l'effet se ressente sur l'ensemble du logiciel libre ... car même RMS n'aura pas fait aussi fort!
4  0 
marc.collin
Avatar de marc.collin
Membre émérite https://www.developpez.com
Le 21/03/2022 à 14:52
je trouve que ça démontre juste le risque d'opter pour du cloud et du privé

me semble de voir le tollé que ça ferait en France si une société déciderait de couper une technologie à une entreprise Israélienne, car Israël massacre les palestiniens depuis 70 ans et que c'est un état raciste...
https://www.journaldemontreal.com/20...la-citoyennete
4  1 
daerlnaxe
Avatar de daerlnaxe
Membre éprouvé https://www.developpez.com
Le 27/03/2022 à 19:50
Citation Envoyé par walfrat Voir le message
Comme si dans les annéees 80/90, tout les développeurs relisaient l'entièreté du code qu'ils intégraient.

En outre aujourd'hui la "pile" qu'on intègre est sans conteste 100 fois plus grosses qu'a l'époque. Je veux dire, tu veux intégrer Angular ? Il te faudra non seulement te palucher les quelques Mega de code pur Angular mais aussi le code de toutes les dépendances.

Aujourd'hui c'est simple : a part si tu veux avancer cent fois moins vite que le reste du monde, c'est impossible de valider l'entièreté du code que tu ajouterais comme dépendance. Tu as évidemment l'option de tout recoder toi-même, en moins bien, en admettant que ça finisse par marcher, et en plus cher.

En revanche je trouve ça un peu dommage côté outillage, détecter du code sciamment obfusqué en base 64 ne devrait plus être si compliqué que ça de nos jour.

Enfin j'ai beau être développeur, pour les experts du domaines, ce ne serait pas trop difficile de me pondre un code malveillant et que je ne vois rien, comme la plupart des développeurs.
De toute manière déjà rien que el fait de passer par une IDE lève beaucoup de taff et rend dépendant même quand on voudrait l'être le moins possible. Si vraiment faut réécrire du début ça va être violent. Par ailleurs j'en ai marre de voir débarquer de la politique à toutes les sauces surtout que bien souvent les gens sont peu/mal renseignés. Est ce qu'on va foutre de l'IT en politique...

Imaginez le meeting d'un candidat, avec préférez tel langage ! Utilisez tel framework !
4  1 
Commenter Signaler un problème