Les «mainteneurs» open source peuvent-ils être tenus responsables de la sécurité des composants?
Face à la recrudescence des cyberattaques, les Etats légifèrent pour que les fournisseurs de logiciels prennent leurs responsabilités. Peut-on exiger de même d’une communauté open source peu ou pas rémunérée dont les développements profitent gratuitement à tous?
Fin avril, 13 associations européennes impliquées dans l’open source publiaient une lettre ouverte où elles se rebiffaient contre le projet européen de loi sur la cyber-résilience et demandaient à ce qu’on les consulte et que les caractéristiques de leur domaine soient davantage prises en considération.
Leurs inquiétudes s’expliquent: le projet de législation prévoit en effet que quiconque met sur le marché un produit vulnérable soit tenu pour responsable. Bien que la loi ne concerne que les activités commerciales, elle risque de pénaliser les acteurs de l’open source qui sollicitent des dons ou qui sont rémunérés pour leurs services de support. «Les petites organisations qui produisent du code open source dans l'intérêt du public risquent de voir l'ensemble de leurs activités remises en cause par la loi, simplement parce qu'elles ne disposent pas des fonds nécessaires pour couvrir leurs risques. Cela poussera les développeurs et les organisations à abandonner complètement ces projets, ce qui nuira à l'ensemble des logiciels libres», s’alarme l’Electronic Frontier Foundation.
Le projet européen n’est pas isolé. Face à la recrudescence des cyberattaques, les autorités cherchent à responsabiliser les organisations qui développent des outils en amont de la supply chain logicielle. L’administration américaine contraint ainsi ses fournisseurs à publier une SBOM listant les composants de leurs logiciels. Le fait que les applications soient aujourd’hui composées en grande partie de briques open source et l’expérience désastreuse Solarwinds/Log4j font que les regards se tournent aussi vers l’open source.
Qui est responsable?
Sauf que le modèle communautaire open source repose sur des individus et des organisations pas ou peu rémunérés, qui développent et maintiennent des composants de grande qualité utilisés pour tout le monde. Selon l’enquête 2023 de Tidelift, 60% des «mainteneurs» de composants open source ne sont pas payés.
Il est difficile d’exiger en plus qu’ils portent la responsabilité légale de la sécurité de ces composants. Pour Luis Villa, co-fondateur de Tidelift, une société qui cherche justement à rémunérer le travail sur l’open source, la supply chain logicielle a une valeur inestimable, mais ceux qui développent et maintiennent les composants open source n’ont pas nécessairement décidé d’être des fournisseurs avec tout ce que cela implique comme engagement.
La majorité des «mainteneurs» ne sont par ailleurs pas au courant des standard récents en matière de sécurité de la supply chain. Et, chez ceux qui les connaissent, seulement 43% ont commencé ou prévoient d’aligner leurs projets avec ces normes ou canevas. S’ils ne le font pas, c’est d’abord parce qu’ils n’en ont pas le temps et qu’ils ne sont pas payés pour le faire.
Sans compter que leur déléguer la responsabilité est un moyen pour les entreprises d’échapper à la leur, explique Tom Krazit sur Runtime. «La sécurité de la supply chain est un problème qui existe principalement parce que les consommateurs ne parviennent pas à comprendre les dépendances qu'ils ont, puis à y répondre et à effectuer les mises à jour, déclare ainsi Brian Fox, CTO de Sonatype. La plupart du temps, ce n'est pas parce que les mainteneurs font un mauvais travail de mise à jour».