Google veut un partenariat public-privé pour sécuriser les projets open source

Félix Cattafesta |

L'affaire Log4Shell fait des remous. Début décembre, une faille majeure a été découverte sur l'outil de journalisation open source Log4j. De nombreux services du web ont été touchés comme iCloud, Twitter ou encore Steam et Minecraft. Suite à ces évènements, la Maison-Blanche a organisé hier une réunion pour discuter de l'affaire. De très gros poissons du web et de la tech étaient présents, avec notamment Google, Facebook, Amazon mais aussi Apple. La sécurité des projets open source a été discutée, et Google demande à ce que le gouvernement mette la main à la pâte.

La faille Log4Shell a touché de nombreux services. Image : LunaSec.

Google a publié un billet de blog dans lequel il appelle à une meilleure collaboration entre le gouvernement et le secteur privé. Si l'entreprise injecte régulièrement des fonds dans l'open source (par des dons aux associations, un engagement dans la cybersécurité), elle regrette que la sécurité de nombreux projets importants soit délaissée :

Pendant trop longtemps, la communauté du logiciel s'est confortée dans l'idée que les logiciels libres étaient généralement sûrs en raison de leur transparence et de l'hypothèse selon laquelle « de nombreux yeux » veillaient à détecter et à résoudre les problèmes. Mais en fait, si certains projets ont effectivement de nombreux yeux, d'autres en ont peu ou pas du tout.

Google observe qu'il n'y a pas d'allocation officielle ou de norme formelle pour maintenir la sécurité de certains morceaux de code critique qui sont utilisés dans des infrastructures publiques importantes. Les corrections et travaux sont faits sur le coup et sur la base du volontariat alors que des projets de plus en plus massifs reposent sur de l'open source. « Les logiciels libres constituent le tissu connecteur d'une grande partie du monde en ligne. Ils méritent la même attention et le même financement que ceux que nous accordons à nos routes et à nos ponts », explique l'entreprise.

Par conséquent, Google demande à ce qu'un partenariat public-privé soit créé permettant de mieux surveiller les projets open source. Elle considère que de nouvelles normes de sécurité et de maintenance sont nécessaires afin de pouvoir classer les failles par ordre d'importance. Le but serait également d'allouer des ressources pour les projets les plus essentiels, et d'anticiper les problèmes sur le long terme. « La réunion d'aujourd'hui à la Maison-Blanche était à la fois une reconnaissance de ce défi et un premier pas important pour le relever », conclut l'entreprise.

avatar tupui | 

C’est bien de faire des réunions comme ça mais ils étaient où les représentant de npm, pypi, conda, etc. ? Parce que c’est pas Apple et autre qui va y changer quoi que ce soit. Il faut plus de services comme tidelift, NumFOCUS, etc. et que les entreprises financent ce genre de services.

avatar Amaczing | 

👍 Super Google 👍

avatar H2Apps | 

Et en échange de quoi les sociétés commerciales sont prêtes à payer plus d’impôts?
Non parce qu’elles utilisent aussi ces logiciels libres… donc si ce sont les états qui doivent financer leur maintenance / surveillance, il va falloir répercuter le coût quelque part… ou c’est encore aux particuliers de payer pour que les entreprises en profitent gratuitement?

Si j’ai bien compris l’idée :
- Google utilise dans ses solutions une brique open source qu’il ne paye donc pas
- une faille de sécurité est présente dans cette brique
- Google voudrait passer un partenariat avec l’Etat pour que ce dernier le paye pour surveiller /corriger les failles dans la brique open source.

En gros plus Google va utiliser de brique open source plus il va vouloir se faire payer par le gouvernement pour surveiller / corriger le code qu’ils utilisent gratuitement.

Y’a que moi qui ait l’impression qu’ils sont gagnants sur les deux tableaux là?

avatar valcapri | 

@H2Apps

Tu as déjà vu le travail que fait le Project Zero de Google pour sécurisé la plupart des systèmes ?

Et le nombre de projets Open Source auquel Google contribue, voir ont créé ?

Ce que Google demande ni plus ni moins, est une foundation un peu comme Apache, CNCF et qui s’occuperait de la sécurité des logiciels Open Source?

Où tout le monde injecterait de l’argent que ce soit les GAFAM (Google, Apple, Facebook, Amazon et Microsoft), les NATU (Netflix, AirBnB, Tesla et Uber),… et le secteur public pour soutenir des HackerOne, GitHub Sponsor, Patreon, OpenCollective, OWASP,…

Et cela profiterait certes à Google mais pas que.

Et lorsque l’on a des infrastructures critiques qui peuvent reposer dessus, on peut comprendre que le secteur public aide aussi financièrement.

avatar Nesus | 

@valcapri

Oui enfin Google a fait une grosse partie de sa fortune grâce à l’open source. C’est juste normal qu’elle redonne. Surtout que le Project Zéro, c’est surtout pour se sécuriser elle. Et oui, ça passe par sécuriser les autres. Donc il n’est pas illogique de dire que s’ils évitaient moins l’impôts, ça se passerait mieux. Et quand je dis ils, je parle de toute la silicone valley.

avatar Nielp | 

La France fait partie des pays qui taxent le plus à l'échelle de la planète et pourtant quand ya du libre utilisé c'est uniquement pour éviter de payer et elle n'apporte aucun soutient financier, ou à peine, au moindre projet qu'elle utilise...

Parcontre quand c'est MS ou apple, la l'administration ferme les yeux et dépense sans compter... Voir même ça ajoute des rallonges de billet pour se voir "offrir" par MS des licences de produits qui ne servent à rien à la structure et qui ne seront jamais utilisé...

Ce qui font fortune grâce à l'open-source c'est principalement les sites d'e-commerces et les banques, pourtant leur implication ou le support financier qu'ils apportent est proche du néant...

avatar marc_os | 

@ Nielp

> La France fait partie des pays qui taxent le plus à l'échelle de la planète

La belle légende.
Bref.

Tu as déjà travaillé dans une banque ?
On dirait que non.
Figure toi que les produits Microsoft comme SQL Server ne sont pas gratuit.
Ensuite, elles font aussi appel à des SSII qui... bref.

avatar Nielp | 

SQL server est un produit open source ? :)

avatar marc_os | 

@ Nielp

> SQL server est un produit open source ?

J'ai répondu de manière maladroite à ceci :

> Ce (sic) qui font fortune grâce à l'open-source c'est principalement les sites d'e-commerces et les banques

1. C'est peut-êre vrai que les sites d'e-commerces (lesquels ?) font appel essentiellement à de l'open-source, mais certainement pas pour les banques.
2. Tout le monde fait appel plus ou moins à de l'open-source, mais c'est en général pour éviter de réinventer la roue. Or quand une solution pérenne existe, gratuite qui plus est, pourquoi s'en priver ?
Je le répète, tous les acteurs du net et tous les éditeurs de logiciel le font.
Et ce n'est pas grâce à l'open-source qu'ils font fortune, l'open-source étant un outil comme un autre, mais grâce à, disons, leur business model, grâce à leur activité première, de vendeur, de banquier ou d'éditeur de logiciel, compta, traitement de texte, image, vidéo, etc.

avatar Patrick_C | 

@Nielp

C’est beau cette légende : pourtant, il est un fait qui n’est pas une légende c’est que ceux qui donnent des leçons sont les mêmes qui payent le moins d’impôts.

avatar byte_order | 

@Nielp
> Ce qui font fortune grâce à l'open-source

Personne ne fait fortune grâce à l'open-source.
Sinon des gens comme Linus Torvalds, Fabrice Bellard, etc seraient devenus milliardaires.
Et que dire de Redhat, qui serait devenue la boite la plus riche du monde si c'était le cas.

Par ailleurs, l'open source assume de facto qu'on puisse faire de l'argent avec. Les clauses de licence l'acceptent ou ne l'acceptent pas, selon la volonté du ou des auteurs. Si c'est accepté, je ne vois pas le problème.

avatar cybercooll | 

@Nielp

"Ce qui font fortune grâce à l'open-source"

Tu ne fais pas fortune grâce à l’open source.
Tu fais fortune grâce à tes idées et tes compétences, l’open source te permet de les concrétiser plus rapidement.

avatar marc_os | 

@ H2Apps

Tu oublies ce scénario :

- L'Etat et ses administrations utilisent des solutions open source pour certaines maintenues (en partie) par Google ou Apple.
- Une faille de sécurité est présente dans ces solutions (Serveur Apache par exemple utilisant Log4Shell)
- Google voudrait que l'Etat participe au financement de la sécurisation de ces solutions open source, et pas uniquement les entreprises privées.

avatar Bigdidou | 

@H2Apps

« Et en échange de quoi les sociétés commerciales sont prêtes à payer plus d’impôts? »

Parce que c’est bien le rôle l’état d’assurer la sécurité.
Et que la sécurité sur/via internet est largement aussi importante que celle sur la voie publique.
Ajoutons que les GAFA et Google en particulier ont installé une relation de grande interdépendance avec l’état fédéral : rien de surprenant ni de choquant à ce qu’il travaillent de conserve (puisqu’il paraît que c’est la tournure exacte de cette expression).
Le libertarianisme a vécu :D

avatar ech1965 | 

C'est le rôle le tout le monde de financer l'Etat

avatar jackhal | 

Allez les gars, vérifiez-moi tout Github. Et surveillez bien les nouvelles versions, hein.
Sérieusement, cette proposition de Google est ridicule et super inégalitaire. Car bien sûr, seuls seraient sécurisés les projets les plus utilisés, et tant pis pour les autres. Donc... les projets utilisés par le plus de sociétés. Donc en gros, on veut que le gouvernement paye pour les entreprises.
Quant à l'argument de Google :
« Les logiciels libres constituent le tissu connecteur d'une grande partie du monde en ligne. Ils méritent la même attention et le même financement que ceux que nous accordons à nos routes et à nos ponts »
Il est faux. Ça c'est Internet. Mais les logiciels sont plutôt comme des bâtiments qui sont reliés par les routes.

Si pour construire plus vite, on prend des briques sans se soucier d'où elles viennent ou de contrôle qualité, c'est la faute de l'entreprise de construction. Parce que sinon, dans le bâtiment on pourrait aussi dire que le logement, ça compte hein, donc l'état devrait faire des inspections minutieuses de la sécurité des bâtiments construits à la hâte (avec des gros bouts de préfabriqué à peine inspectés) par des entreprises du BTP pour s'en mettre plein les fouilles.

avatar raoolito | 

@jackhal

bonne remarque. si le BTP a un materiel d'origine qui est defaillant c sa pomme il peut se retourner ensuite vers le fabriquant.mais avec l'open source....

avatar debione | 

Que le gouvernement mette la main à la pâte? Je suis archi pour... Taxe de 1% sur les bénéfices de toutes les boîtes qui génère plus de 100 millions de bénéfice par année. On reverse le tout aux projets open sources.

avatar clochette90 | 

Il y a un truc qui me gêne un peu aux entournures : Google demande aux gouvernements de prendre la main sur des projets open source “stratégiques”. Ça ne leur permettrait pas aussi de mettre leur nez (et leur leurs renifleurs) là où justement l’open source devait, pour partie, nous éviter ce genre d’intrusions en jouant la transparence

avatar BeePotato | 

@ clochette90 : « Ça ne leur permettrait pas aussi de mettre leur nez (et leur leurs renifleurs) là où justement l’open source devait, pour partie, nous éviter ce genre d’intrusions en jouant la transparence »

Si cette théorie de la transparence est vraie, ça ne devrait pas être un problème, puisque ce sera détecté instantanément.
Sauf que, bien sûr, la pratique est loin de la théorie… 😉

avatar marc_os | 

@ clochette90

> Google demande aux gouvernements de prendre la main sur des projets open source “stratégiques”.

Absolument pas.
Google demande aux gouvernements de participer à la sécurisation, au financement de la sécurisation. Ce n'est absolument pas « prendre la main sur des projets », ce qui veut dire les contrôler.

avatar clochette90 | 

@marc_os si justement, que les GAFAM (et autres d’ailleurs)mettent sérieusement leur nez dans des briques de sécurité avec l’aval des gouvernements, sous le prétexte de “sécurisation”, n’est pas pour me rassurer sur l’avenir d’un net “libre”, si tant est que ce mot ait encore un quelconque sens dans ce contexte

avatar marc_os | 

@ clochette90

> si justement

si justement quoi ?

> les GAFAM (et autres d’ailleurs)mettent sérieusement leur nez dans des briques de sécurité

Et alors ?
C'est open-source et tu peux voir ce qu'ils font si ça t'intéresse vraiment.

> mettent sérieusement leur nez dans des briques de sécurité [...], sous le prétexte de “sécurisation”,

"sous le prétexte de" sous-entend que ce serait mal.
Curieux reproche. En général, si je veux améliorer la sécurité, je "mets mon nez dans des briques de sécurité".
Ce n'est pas ce que tu ferais ? 😳

Ne serais-tu pas en train de chercher un "complot" ?

avatar byte_order | 

@marc_os
> C'est open-source et tu peux voir ce qu'ils font si ça t'intéresse vraiment.

Certes.
Mais il peut se passer un certain temps entre les changements et leur détection par des tiers indépendants mais compétents.
D'autant plus si des grosses entreprises obtiennent de facto une sorte de délégation de pouvoir d'intervenir sur ces briques technos. Ils vont devenir de facto les plus gros contributeurs des modifications, et donc la diversité des personnes qui consultent le code en question se réduira, augmenta les délais de détection d'erreurs ou de modifications aux motivations moins dénuées d'arrière pensée que prétendu.

> "sous le prétexte de" sous-entend que ce serait mal.
> Curieux reproche. En général, si je veux améliorer la sécurité,
> je "mets mon nez dans des briques de sécurité".

Si tu veux réellement que cela, oui.

Mais si ce que tu veux vraiment c'est également instrumenter une brique open source pour favoriser tes intérêts, tu peux aussi dire que ton amélioration est motivée par la sécurité alors que la motivation n'est pas aussi altruiste que cela.

Attention à ne pas être trop naïf. La "sécurité" a toujours été un argument de vente (d'armes, en premier lieu), mais aussi politique.

La sécurité, ok, la centralisation, la concentration de la dépendance à des acteurs toujours plus puissants, non.

Pour rappel, Internet repose sur la décentralisation. Tout centraliser, c'est la garantie qu'en cas de faille, tous le monde l'a !

avatar Mike Mac | 

Citant Google, vous nous dites que : « Les logiciels libres constituent le tissu connecteur d'une grande partie du monde en ligne. Ils méritent la même attention et le même financement que ceux que nous accordons à nos routes et à nos ponts ».

Mais voilà....

"Plus de 10% des ponts américains considérés comme dangereux"

https://www.mysecurite.com/actualites/2013/plus-de-10-des-ponts-sont-dangereux-aux-usa-73641-6514.html

Pour le coup, on est pas très rassurés.

Entre Ponts et Open source, va-t-il falloir choisir ?

CONNEXION UTILISATEUR