Alors que l'invasion russe de l'Ukraine se poursuit, les conséquences se font sentir dans de nombreux secteurs du secteur technologique, y compris le développement de logiciels open source.
Dans un annonce récente, la banque russe Sber a conseillé à ses clients d'arrêter temporairement d'installer des mises à jour logicielles sur toutes les applications, craignant qu'elles ne contiennent un code malveillant spécifiquement destiné aux utilisateurs russes, qualifié par certains de “protestware”.
Comme cité dans les sites d'information en langue russe, l'annonce de Sber se lit comme suit :
Actuellement, les cas d'introduction de contenu médiatique provocateur dans des logiciels distribués librement sont devenus plus fréquents. De plus, divers contenus et codes malveillants peuvent être intégrés dans des bibliothèques librement distribuées utilisées pour le développement de logiciels. L'utilisation de tels logiciels peut entraîner l'infection par des logiciels malveillants d'ordinateurs personnels et d'entreprise, ainsi que de l'infrastructure informatique.
Lorsqu'il y avait un besoin urgent d'utiliser le logiciel, Sber a conseillé aux clients d'analyser les fichiers avec un antivirus ou d'effectuer un examen manuel du code source – une suggestion qui sera probablement peu pratique, voire impossible, pour la plupart des utilisateurs.
Bien que formulée en termes généraux, l'annonce a probablement été faite en référence à un incident qui s'est produit plus tôt en mars, où le développeur d'une bibliothèque JavaScript largement utilisée a ajouté une mise à jour qui a écrasé des fichiers sur des machines situées en Russie ou en Biélorussie. Soi-disant mise en œuvre pour protester contre la guerre, la mise à jour a alarmé de nombreux membres de la communauté open source, craignant qu'elle ne sape la confiance dans la sécurité des logiciels open source en général.
La mise à jour a été effectuée dans un module JavaScript appelé node-ipc, qui, selon le gestionnaire de packages NPM, est téléchargé environ 1 million de fois par semaine et utilisé comme dépendance par le framework de développement frontal populaire Vue.js.
Selon The Register, les mises à jour de node-ipc effectuées les 7 et 8 mars ont ajouté du code qui vérifiait si l'adresse IP d'une machine hôte était géolocalisée en Russie ou en Biélorussie, et si c'est le cas, écrasait autant de fichiers que possible avec un symbole de cœur. . Une version ultérieure du module a supprimé la fonction d'écrasement et a déposé à la place un fichier texte sur les ordinateurs des utilisateurs contenant un message indiquant que “la guerre n'est pas la réponse, aussi grave soit-elle”, avec un lien vers une chanson de Matisyahu.< /p>
Bien que les fonctionnalités les plus destructrices du module “protestware” n'apparaissent plus dans le code, les conséquences sont plus difficiles à annuler. Étant donné que les bibliothèques open source sont fondamentales pour le développement de logiciels, une perte générale de confiance dans leur intégrité pourrait avoir des répercussions sur les utilisateurs en Russie et ailleurs.
Dans un tweet, analyste en cybersécurité Selena Larson l'a qualifié d'« insécurité forcée » ; en général, la communauté open-source a farouchement condamné la mise à jour node-ipc et repoussé l'idée de protester par le sabotage de modules, même pour de bonnes causes.
Plus généralement, le conflit ukrainien a posé des questions éthiques difficiles aux entreprises technologiques travaillant en Russie. Alors que de nombreux leaders mondiaux de la technologie comme Apple, Amazon et Sony ont suspendu ou interrompu leurs ventes sur le marché russe, d'autres restent : dans un article de blog du 7 mars, le PDG de Cloudflare, Matthew Prince, a déclaré que la société continuerait à fournir des services en Russie malgré les appels. se retirer, en écrivant que “la Russie a besoin de plus d'accès à Internet, pas moins.”