Des chercheurs de l’Université du Minnesota se sont excusés samedi auprès des responsables de Linux Kernel Project pour avoir intentionnellement inclus des vulnérabilités dans le code du projet, ce qui a conduit l’école à se voir interdire de contribuer au projet open source à l’avenir.
«Alors que notre objectif était d’améliorer la sécurité de Linux, nous comprenons maintenant qu’il était blessant pour la communauté d’en faire un sujet de nos recherches, et de gaspiller ses efforts à examiner ces correctifs à son insu ou sans sa permission», a déclaré le professeur adjoint Kangjie Lu , avec les étudiants diplômés Qiushi Wu et Aditya Pakki, mentionné dans un e-mail.
« Nous l’avons fait parce que nous savions que nous ne pouvions pas demander la permission aux responsables de Linux, sinon ils seraient à l’affût des correctifs hypocrite », ont-ils ajouté.
Les excuses viennent d’une étude sur ce que l’on appelle les «commits hypocrite», qui était publié plus tôt en février. Le projet visait à ajouter délibérément utilisation-après-libre vulnérabilités au noyau Linux au nom de la recherche sur la sécurité, apparemment dans le but de mettre en évidence comment un code potentiellement malveillant pourrait se faufiler au-delà du processus d’approbation et, par conséquent, suggérer des moyens d’améliorer la sécurité du processus de correction.
UNE document de clarification précédemment partagée par les universitaires le 15 décembre 2020, le comité d’éthique de la recherche de l’université a examiné l’étude et a déterminé qu’il ne s’agissait pas de recherche humaine.
Alors que les chercheurs ont affirmé que «nous n’avons introduit ou n’avons pas l’intention d’introduire de bogue ou de vulnérabilité dans OSS», le fait que preuve du contraire a émergé – ce qui implique que la recherche a été menée sans surveillance adéquate – et a risqué que la sécurité du noyau a conduit à une interdiction unilatérale des soumissions de code de toute personne utilisant une adresse e-mail « umn.edu », en plus d’invalider tous les anciens codes soumis par les chercheurs universitaires.
« Notre communauté n’apprécie pas d’être expérimentée, et d’être » testée « en soumettant des correctifs connus qui (sic) ne font rien exprès ou introduisent des bogues exprès, » responsable du noyau Linux Greg Kroah-Hartman mentionné dans l’un des échanges la semaine dernière.
À la suite de l’incident, le département d’informatique et de génie de l’université mentionné il enquêtait sur l’incident, ajoutant qu’il examinait «la méthode de recherche et le processus par lesquels cette méthode de recherche a été approuvée, déterminer les mesures correctives appropriées et se prémunir contre les problèmes futurs».
«C’est pire que de simplement faire des expériences; c’est comme dire que vous êtes un ‘chercheur en sécurité’ en allant dans une épicerie et en coupant les conduites de frein de toutes les voitures pour voir combien de personnes se sont écrasées quand elles partent. » tweeté Jered Floyd.
En attendant, tous les correctifs soumis à la base de code par les chercheurs universitaires et les professeurs devraient être annulé et réexaminé pour vérifier s’il s’agit de correctifs valides.