Le cadeau empoisonné de l'open source
On nous vend l'open source comme le temple de la transparence et de la sécurité par l'inspection collective. Belle théorie. Dans la pratique, c'est aussi devenu le supermarché du tireur embusqué. La dernière trouvaille ? Un malware, baptisé "Jaska" ou "RustDoor" selon les cabinets de cybersécurité qui se battent pour le naming rights, qui fait du porte-à-porte tout seul. Il se propage, s'installe, et si votre IP sent le théran, il déclenche le protocole "nettoyage par le vide". Adieu disques, adieu données. Une désinfection radicale à 100%.
La "cible iranienne" : l'arbre qui cache la forêt
Tout le monde s'extasie sur le ciblage "géographique" supposé de l'Iran. Trop pratique. Ça fait joli dans le communiqué, ça donne un air de guerre cybernétique propre et chirurgicale. Sauf que le vecteur, lui, est universel : des projets open source corrompus. Le malware ne demande pas votre passeport à l'installation. Il se fout de votre nationalité. La porte dérobée est ouverte à tous, le bouton "détruire" est réservé à quelques-uns. C'est ça, la nouvelle élégance : contaminer le réservoir commun pour empoisonner une seule fontaine.
La faille n'est pas dans le code, elle est dans le modèle
Le vrai scandale n'est pas la sophistication du malware. C'est la crédulité béate du modèle. Des millions de projets reposent sur la bonne foi et la vigilance gratuite de contributeurs éparpillés. Un acteur étatique – parce que soyons sérieux, qui d'autre a les ressources pour un truc aussi ciblé ? – n'a qu'à insérer son cadeau dans une bibliothèque obscure dont dépendent cent autres projets. La chaîne d'approvisionnement logicielle est pourrie à la base. Et les grands groupes qui empilent ces dépendances sans les auditer jouent aux apprentis sorciers avec les données de leurs clients.
Le réveil va être brutal (et cher)
Les "maisons de développement" sont gentiment invitées à "vérifier leurs réseaux". Traduction : vous avez peut-être déjà livré un cheval de Troie à vos clients, bon courage pour le rattrapage. Le coût de la confiance aveugle dans l'open source commence tout juste à apparaître sur les factures. Audit de toutes les dépendances, revue de sécurité continue, signature de code… Autant de postes de dépense que l'on avait esquivés en se reposant sur la "communauté". La communauté, visiblement, a d'autres chats à fouetter, dont certains sont des tigres.
La leçon est amère : il n'y a pas de bien commun numérique idyllique. Il y a un espace de combat où le code est une arme, la confiance une vulnérabilité, et où l'open source est le nouveau champ de bataille des conflits par proxy. Bienvenue dans l'ère de la guerre hybride, livrée une ligne de code à la fois.