Kubernetes, une plate-forme open source populaire dans l’industrie des télécommunications, compte certaines des sociétés technologiques les plus connues d’Amérique parmi ses plus grands contributeurs.

Google, l’ancêtre du projet, dirige sans surprise une liste de tableau de bord communautaire en partie présentée ci-dessous (et entièrement disponible ici).

Mais Red Hat (propriété d’IBM), VMware, Microsoft, Intel et IBM lui-même figurent tous dans le top dix. En parcourant cette liste, tout politicien américain inquiet des implications de sécurité de l’open source peut être assuré que Kubernetes est entre de bonnes mains.

Jusqu’à ce qu’ils tombent sur le nom du septième plus grand contributeur, c’est-à-dire. Huawei, équipementier chinois banni pour des raisons de sécurité de nombreux marchés occidentaux, est identifié à cet endroit.

Plus bas, en dix-septième position, notre fonctionnaire de plus en plus nerveux rencontre ZTE, une sorte de Huawei miniaturisé soutenu par le gouvernement chinois. Alibaba et Tencent, les réponses de la Chine à la Big Tech américaine, font également partie du top 50. Et plusieurs autres noms chinois figurent dans le top 100.

Les détracteurs soutiennent depuis longtemps que l’open source est une entreprise risquée car elle expose les organisations à du code écrit par des personnages méchants. Mais son utilisation dans les infrastructures critiques devrait se développer.

La répression des fournisseurs chinois a soutenu une alternative technologique appelée RAN ouvert, conçue pour normaliser les interfaces entre les différentes parties du réseau d’accès radio. Selon les partisans, cela permettrait à davantage de fournisseurs spécialisés de jouer un rôle.

Pourtant, le RAN ouvert, tel qu’envisagé par les plus grands opérateurs européens, dépendrait également fortement du code open source.

Cela a été clairement indiqué dans une liste de priorités techniques RAN ouvertes, publiée l’année dernière par Deutsche Telekom, Orange, Telefónica, TIM (Telecom Italia) et Vodafone.

Kubernetes, ont-ils déclaré, devrait être la « mise en œuvre principale » de la plate-forme cloud qui héberge les fonctions et applications RAN ouvertes. Un document de suivi publié plus tôt cette année montre qu’ils n’ont pas changé d’avis.

Les autorités occidentales sont inquiètes. En mai, un rapport commandé par les États membres de l’UE sur les implications de cybersécurité du RAN ouvert a souligné que « les logiciels open source peuvent fournir aux attaquants un environnement riche en cibles en raison de leur utilisation généralisée ».

Plus tôt dans le même rapport, ils avaient noté que « l’utilisation possible de composants open source pourrait signifier que les vulnérabilités sont connues du public et pourraient donc être plus facilement exploitées par des acteurs malveillants ».

La sécurité en chiffres

Les personnes qui font du commerce en open source rejettent ces craintes comme un non-sens. Le code exposé à l’examen du monde ne peut logiquement pas être moins sûr que le logiciel propriétaire caché à la vue en phase de développement, affirment-ils.

La justification de la sécurité en nombre suppose que les criminels ont peu de chances de s’introduire par effraction et de causer des dommages lorsqu’il y a autant de sentinelles stationnées autour du bâtiment.

« L’avantage d’un modèle ouvert est que de nombreuses personnes examinent le code qui entre dans les projets open source », a déclaré Chris Wright, directeur de la technologie de Red Hat.

« Une grande partie de la puissance intellectuelle est investie non seulement dans la création du code, mais également dans la révision du code pour s’assurer qu’il répond aux normes de la communauté concernant ce qui doit être produit. »

Pour une entreprise comme Huawei, déjà sur la liste de surveillance, glisser un code malveillant dans Kubernetes reviendrait à boire un verre en public tout en étant obligé de porter un t-shirt « ce barman est louche ».

Pour lire l’article complet, visitez la lecture légère.