Un chercheur en sécurité aurait découvert un code open source « volé » dans un outil développé par Voice.ai

Une entreprise spécialisée en Intelligence artificielle

L’ingénieur en génie logiciel et chercheur en sécurité connu sous le pseudonyme de Ronsor a révélé que l’entreprise spécialisée en Intelligence artificielle, Voice.ai, aurait « volé » un code open source pour les besoins de développement de son logiciel. Voice.ai aurait violé les termes des licences GPLv3 et LGPLv2.1. Selon Ronsor, l'entreprise a empaqueté les bibliothèques open source sans adhérer à leurs conditions d'utilisation.

Après une enquête approfondie sur une installation de Voice.ai, il s'est avéré que la société avait intégré du code de Praat, un logiciel d'analyse vocale open source largement utilisé et libgcrypt, une bibliothèque cryptographique, dans son logiciel propriétaire, sans publier le code source de son logiciel ni fournir une attribution appropriée. En bref, il est courant qu'un logiciel s'appuie sur des projets à open source, mais ces projets sont séparés du projet principal et une attribution appropriée est proposée dans un fichier readme ou dans une fenêtre de dialogue de l'application principale.


Dirigée par Heath Ahrens, PDG et fondateur, Voice.ai est construit autour d'une équipe de pionniers de longue date dans le domaine de la technologie de la voix synthétique. L'équipe a créé le tout premier logiciel de synthèse vocale en cloud en 2007 avant de s'attaquer au problème potentiellement mortel de la distraction au volant avec DriveSafe.ly en 2009. Elle a développé iSpeech Home, qui était en 2011 le précurseur d'Amazon Alexa et de Google Home, et le prédécesseur de Siri et de l'Assistant Google. Ils ont également publié la première application grand public à intégrer la technologie de clonage vocal en 2012, en la lançant avec succès à TechCrunch Disrupt.

Tandis que des géants de la technologie comme Microsoft et Google se lancent dans une guerre totale, utilisant leurs centres de données en cloud dans une course à la suprématie de l'IA, les entreprises comme Voice.ai se battent en première ligne pour être pertinentes.

Selon Ronsoros, Voice.Ai prend des raccourcis pour arriver au sommet dans le jeu de l'IA audio. Il estime que Voice.ai a violé les termes des licences GPLv3 et LGPLv2.1 dans son logiciel. En bref, l'entreprise a empaqueté les bibliothèques open source qui permettent le logiciel sans adhérer à leurs conditions d'utilisation. Ces licences, couramment utilisées dans la communauté open source, régissent l'utilisation et la distribution des logiciels open source, et il est important que toutes les parties utilisant ces licences respectent leurs conditions.

Dans son blog, undeleted, Ronsoros détaille les mesures qui ont été prises pour découvrir les violations.

% strings VoiceAILib.dll | grep -iE '^C:'
C:\Users\D\Desktop\PraatLib_CMake\PraatLib_CMake\external\gsl\gsl_specfunc__bessel_In.c
C:\Users\D\Desktop\PraatLib_CMake\PraatLib_CMake\external\gsl\gsl_specfunc__bessel_Kn.c
C:\Users\D\Desktop\PraatLib_CMake\PraatLib_CMake\external\gsl\gsl_specfunc__gamma.c
C:\Users\D\Desktop\PraatLib_CMake\PraatLib_CMake\external\gsl\gsl_specfunc__gamma_inc.c
C:\Users\D\Desktop\PraatLib_CMake\PraatLib_CMake\external\gsl\gsl_specfunc__beta_inc.c
C:\Users\D\Desktop\PraatLib_CMake\PraatLib_CMake\external\gsl\gsl_specfunc__beta.c
...
C:\Users\D\Downloads\libgcrypt-libgcrypt-1.10.1\cipher\cipher.c
C:\Users\D\Downloads\libgcrypt-libgcrypt-1.10.1\cipher\md.c
C:\Users\D\Downloads\libgcrypt-libgcrypt-1.10.1\cipher\mac.c
C:\Users\D\Downloads\libgcrypt-libgcrypt-1.10.1\cipher\primegen.c
...

Les principes de base de la GPLv3

La version 3 de la GNU General Public License (GPLv3) a enfin été publiée le 29 juin 2007. Bien qu'il y ait eu de nombreuses discussions à propos de cette licence depuis la parution de son premier brouillon, peu de gens ont parlé des avantages qu'elle procure aux développeurs. Pour l’équipe en charge de la GPLv3, il y a quatre libertés que tout utilisateur doit posséder :

1. la liberté d'utiliser le logiciel à n'importe quelle fin ;
2. la liberté de modifier le programme pour répondre à ses besoins ;
3. la liberté de redistribuer des copies à ses amis et voisins ;
4. la liberté de partager avec d'autres les modifications qu'il a faites.

Quand un programme offre à ses utilisateurs toutes ces libertés, nous le qualifions de logiciel libre. Cependant, l’équipe de Voice.ai n’aurait pas respecté la quatrième liberté.

Les développeurs qui écrivent des logiciels peuvent les publier sous les termes de la GNU GPL. Ce faisant, leur logiciel sera libre et le restera, indépendamment de qui modifiera et distribuera ce logiciel. On appelle cela copyleft : le logiciel est bien soumis au droit d'auteur, mais plutôt que d'utiliser ces droits pour restreindre l'usage que peuvent en faire les utilisateurs (comme c'est le cas dans les logiciels privateurs), ils sont utilisés pour s’assurer que tous les utilisateurs auront ces libertés.
La GPL a été mise à jour afin d'empêcher son copyleft d'être sapé par des évolutions législatives ou technologiques. La dernière version protège les utilisateurs contre trois dangers récents :

1. la « tivoïsation » : certaines entreprises ont créé différents types d'équipements qui font tourner des logiciels sous GPL, et ont ensuite bidouillé le matériel pour qu'elles puissent modifier les logiciels. Si un équipement peut faire tourner n'importe quel logiciel, cet équipement est un ordinateur polyvalent. Dès lors, son propriétaire doit pouvoir contrôler ce que fait cet équipement. Quand un équipement vous empêche de faire cela, on parle de tivoïsation ;
2. des lois prohibant les logiciels libres : certaines lois, comme la Digital Millennium Copyright Act, ou la Directive de l'Union européenne sur le copyright, ont rendu délictueux le fait d'écrire ou de distribuer un logiciel qui peut casser un dispositif de DRM (gestion numérique des restrictions). Il ne faut pas que ces lois interfèrent avec les droits que confère la GPL ;
3. Des accords discriminants autour des brevets : l'entreprise Microsoft a récemment commencé à dire qu'elle n'intenterait pas de procès pour violation de brevet contre les utilisateurs de logiciels libres… « pour peu » qu'ils aient obtenu le logiciel d'un fournisseur qui paie Microsoft pour ce privilège. En fin de compte, Microsoft chercherait à obtenir une rétribution pour l'utilisation de logiciels libres, ce qui interfère avec la liberté des utilisateurs.

La version 3 de la GNU GPL apporte aussi nombre d'améliorations quant à la lisibilité et l'utilisation de la licence par tout un chacun. Mais même avec tous ces changements, la GPLv3 n'est pas une licence radicalement nouvelle ; c'est plutôt une évolution par rapport à la version précédente. Bien qu'une bonne partie du texte ait changé, beaucoup de ces changements visent seulement à clarifier ce que la GPLv2 disait déjà.

Voici un extrait de l'accord de licence de voice.ai :

« Nous conservons tous les droits, titres et propriétés du produit bêta. Vous acceptez que le produit bêta soit réservé à un usage personnel. Vous ne pouvez pas vendre, transférer, céder, mettre en gage ou de quelque manière que ce soit grever ou transmettre le produit bêta ou toute partie ou composant de celui-ci à un tiers ou l'utiliser de quelque manière que ce soit pour produire, commercialiser ou soutenir vos propres produits. Vous ne devez pas copier, vendre ou commercialiser le produit bêta à un tiers ; ni modifier, réutiliser, désassembler, décompiler, faire de l'ingénierie inverse ou traduire de toute autre manière le produit bêta ou toute partie de celui-ci. »

Ceci est en contraste frappant avec la GPLv3 qui stipule : « Lorsque vous transmettez un travail couvert, vous renoncez à tout pouvoir légal d'interdire le contournement des mesures technologiques dans la mesure où un tel contournement est effectué en exerçant les droits de la présente licence à l'égard du travail couvert, et vous renoncez à toute intention de limiter l'exploitation ou la modification du travail comme moyen de faire respecter, contre les utilisateurs du travail, vos droits légaux ou ceux de tiers d'interdire le contournement des mesures technologiques .»

Les licences GPLv3 et LGPLv2.1 sont conçues pour garantir que les logiciels libres restent gratuits et accessibles à tous, et il est essentiel que les entreprises qui utilisent des logiciels sous GPLv3 ou GPLv2.1 respectent les termes de ces licences. L'utilisation abusive de logiciels à open sourcet peut menacer l'intégrité de la communauté des logiciels open source et compromettre les principes qui rendent ces logiciels si précieux.

Source : undeleted

Et vous ?

Quel est votre avis sur le sujet ?

Peut-on qualifier l'attitude de Voice.ai, « d'utilisation abusive de logiciels à open source » ?

Quelles conséquences selon vous ?

Voir aussi :

Des membres de 4chan utilisent une IA de clonage vocal pour simuler des voix de célébrités débitant des propos racistes et homophobes, obligeant le créateur à revoir les conditions d'accès à son IA

L'open source souffre-t-il d'un problème du « travail gratuit » ? Oui selon Havoc Pennington