WTF?! Il n’est probablement pas inhabituel que des utilisateurs individuels se voient interdire de contribuer à Linux pour avoir pris de mauvaises décisions. Cependant, pour la première fois à ma connaissance, la Fondation Linux a banni en douceur un domaine entier. Tout utilisateur soumettant des validations depuis une adresse umm.edu (Université du Minnesota) sera « rejeté par défaut » jusqu’à nouvel ordre.
La Linux Foundation a interdit à toute l’Université du Minnesota de contribuer au noyau Linux. L’expulsion intervient après des chercheurs de l’école publié un article intitulé «Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits». L’article détaille comment Qiushi Wu et Kangjie Lu, tous deux étudiants à l’Université de M, ont intentionnellement soumis du code avec des failles de sécurité pour « tester la capacité de la communauté du noyau à examiner les changements » malveillants connus « . »
Greg Kroah-Hartman, membre de la Linux Foundation, n’a pas apprécié l’expérience de la «mauvaise foi». Il mentions dans un e-mail adressé aux autres responsables du noyau, y compris Linus Torvalds lui-même, que désormais, ils devraient rejeter toutes les soumissions des utilisateurs avec une adresse e-mail umn.edu.
Suivi en supprimant presque tous ces changements: https://t.co/wLnQxwKfyk
– Greg KH (@gregkh) 21 avril 2021
« Je vais parcourir mon arbre, donc aucun responsable n’a besoin de s’inquiéter à ce sujet, mais ils doivent être conscients que les futures soumissions de toute personne ayant une adresse umn.edu devraient être rejetées par défaut, à moins qu’il ne soit déterminé autrement comme étant un correctif valide », a écrit Kroah-Hartman. Il a dit que les responsables sont toujours libres d’approuver les soumissions, mais seulement s’ils « fournissent des preuves et peuvent les vérifier ». Il s’agit donc essentiellement d’une interdiction douce.
« Mais vraiment, pourquoi perdre votre temps à faire ce travail supplémentaire? » Kroah-Hartman a ajouté après coup.
Les actions des deux chercheurs n’ont pas été le seul facteur pour décider d’interdire toute l’école. Un troisième utilisateur de l’U de M avait plusieurs soumissions de code indésirable qui n’a rien fait. Kroah-Hartman a ordonné que tous les engagements passés provenant de l’université soient annulés et réexaminés. Il a commencé le travail lui-même et a répertorié des dizaines de codes qu’il a déjà inversés.
En réponse à l’interdiction, la direction de l’UMN a publié une déclaration promettant «des mesures correctives».
«Les dirigeants du département d’informatique et d’ingénierie de l’Université du Minnesota ont appris aujourd’hui les détails de la recherche menée par l’un de ses membres du corps professoral et des étudiants diplômés sur la sécurité du noyau Linux.
«Nous prenons cette situation très au sérieux. Nous avons immédiatement suspendu cette ligne de recherche. Nous étudierons la méthode de recherche et le processus par lesquels cette méthode de recherche a été approuvée, déterminerons les mesures correctives appropriées et nous protégerons contre les problèmes futurs, si nécessaire. Nous allons rapporter nos conclusions à la communauté dès que possible. «
C’est pire que d’être simplement expérimenté; c’est comme dire que vous êtes un «chercheur en sécurité» en allant dans une épicerie et en coupant les conduites de frein de toutes les voitures pour voir combien de personnes se sont écrasées en partant. Énormément contraire à l’éthique; J’espère @UMNews a un IRB qui en prend note!
– Jered Floyd (@jeredfloyd) 21 avril 2021
Les chercheurs ont également publié une déclaration nier ils ont jamais intentionnellement soumis des bogues dans le noyau. Ils ont déclaré que des correctifs défectueux avaient été présentés aux responsables pour obtenir des commentaires par courrier électronique. Une fois qu’ils ont reçu une réponse équivalant à «semble bonne», ils ont informé les responsables du bogue intentionnel et leur ont dit de ne pas commettre. Cependant, toute la controverse a commencé après que quelqu’un trouvé au moins quatre vulnérabilités qui ont fait l’objet d’un examen soumis par une personne disposant d’une adresse e-mail UMN.
Sans s’excuser pour leur travail, les étudiants ont exprimé leurs regrets pour l’effort supplémentaire que cela a causé aux responsables de la maintenance.
« Nous tenons à nous excuser sincèrement auprès des responsables impliqués dans le processus de révision des correctifs correspondant. Ce travail a en effet fait perdre leur temps précieux », ont expliqué Wu et Lu. « Nous avions soigneusement examiné cette question, mais nous n’avons pas pu trouver une meilleure solution dans cette étude. »
Le problème a naturellement provoqué des échanges houleux au sein de la communauté Linux. Le développeur du noyau Laura Abbot a condamné la nature frivole et les conclusions de l’étude, faire remarquer que la possibilité d’introduire intentionnellement un code malveillant est déjà bien connue dans la communauté.
Crédit d’images: Stanislaw Mikulski
