Open source : qui protège les logiciels que le monde entier utilise ?
Une porte dérobée découverte par hasard en 2024 a révélé une vérité dérangeante : des pans entiers d’Internet reposent sur des logiciels entretenus par une poignée de bénévoles.
En mars 2024, un ingénieur de Microsoft, Andres Freund, enquête sur une lenteur anormale lors de connexions à distance. Au bout du fil, il met au jour l’une des attaques les plus sophistiquées de l’histoire récente : une porte dérobée dissimulée dans xz Utils, une modeste bibliothèque de compression présente sur d’innombrables serveurs Linux.
Le plus glaçant n’est pas la technique, mais la méthode : pendant des mois, un contributeur s’était patiemment rendu indispensable au projet pour en prendre le contrôle et y glisser son piège. Sans la curiosité d’un seul homme, la faille aurait pu compromettre une part majeure de l’Internet mondial.
L’affaire a rouvert une plaie déjà béante depuis la faille Log4j de 2021 : ces logiciels libres, socles de toute l’économie numérique, sont bien souvent maintenus par une ou deux personnes, sur leur temps libre, sans rémunération. On y bâtit des empires ; on n’y finance pas les fondations.
La moitié d’Internet repose sur des briques que presque personne ne paie — et que presque personne ne surveille.
Des initiatives émergent pour financer ces mainteneurs, en Europe comme ailleurs. Mais le sujet dépasse la charité : c’est une question de souveraineté et de sécurité collective. Savoir de quoi son site est fait — quelles briques, entretenues par qui — n’est plus un luxe d’ingénieur. C’est une exigence.
Pour saisir le vertige, il faut comprendre comment se construit un logiciel moderne. Aucun n’est écrit d’un bloc : chacun empile des dizaines, parfois des milliers de briques libres, elles-mêmes dépendantes d’autres briques. Cet empilement, invisible, forme une chaîne dont la solidité tient à son maillon le plus faible — souvent un projet tenu à bout de bras par une seule personne.
Des réponses s’organisent. En Allemagne, un fonds public — le Sovereign Tech Fund — finance directement l’entretien des logiciels critiques ; l’idée essaime en Europe. Les entreprises, de leur côté, adoptent la notion de « nomenclature logicielle », l’inventaire précis des composants d’un produit, afin de savoir enfin de quoi elles dépendent. Car on ne protège que ce que l’on connaît. Savoir de quelles briques son site est fait, entretenues par qui, n’est plus une curiosité d’ingénieur : c’est une question de sécurité collective.
Sources : découverte d’Andres Freund (Microsoft), mars 2024 ; retour sur la faille Log4j (2021).