Apparemment, ce n'est pas la première fois que l'on parle de la faille à l'origine de cette fuite (et de beaucoup d'autres) ici ; il y a même tout un historique.
C'est probablement extrêmement naïf de ma part, mais je vois de bons côtés potentiels dans l'affaire.
1) L'article évoque une remise en question des usages de cloud US par les institutions européennes. Mais j'imagine que quel qu'ait été la couleur ou la saveur du nuage employé, la faille aurait également pu être exploitée.
2) De mon côté, je me dit que ces « braves » pirates, une fois exploitée de manière sonnante et trébuchante leurs données les mettront peut-être en ligne ? Peut-être y gagnera-t-on de nouveaux dossiers de presse mettant en lumière quelques dysfonctionnement de nos institutions (pas si) publics. Ça pourrait conduire à corriger les dits problèmes. Qui sait ?
3) Mais peut-être que ça peut aussi conduire le législateur à s'interroger sur la pertinence de politiques de transparence totale (via porte dérobée par exemple) imposée aux citoyens de l'union ?
4) Ou bien à allouer un peu mieux les crédits de l'union ? Qui sait si une attaque comme celle-ci peut peser dans la future création d'un pôle public du logiciel Libre ?
La sécurité informatique exige rigueur , constance, permanence. Ça trie sur qui veut et peut le faire. Du côté développement on veut toujours plus, plus vite, du vibe codé, ne pas faire de maintenance (parce que chiante vu qu'il faut aussi rigueur, constance, permanence), et encore plus de dépendances. Ça ne peut pas bien se passer.
Pourquoi ça changerait à court terme ? Le coût des pertes et des amendes ? Peut-être, mais je n'y crois pas trop je dirais que ça fera plus de faillites surtout. NIS2 et CRA ? À voir.
Et indirectement pourquoi ça va être compliqué si une nouvelle génération de mainteneurs/euses de projets libres ne se lève pas, alors que les personnes fatiguent et doivent supporter les abus et autres harcèlements de sociétés abusives autour (on veut ça sans payer ni contribuer, on exige tel document, on exige telle réponse immédiate, etc.)
On devrait faire des comptes premium pour les personnes qui font la maintenance de projets libres…
Et indirectement pourquoi ça va être compliqué si une nouvelle génération de mainteneurs/euses de projets libres ne se lève pas, alors que les personnes fatiguent et doivent supporter les abus et autres harcèlements de sociétés abusives autour (on veut ça sans payer ni contribuer, on exige tel document, on exige telle réponse immédiate, etc.)
Je pense que ce genre de comportement est largement surestimé (d'une part), et sans doute plus causé par soit des différences d'ordre culturel (insérer ici mon laius sur la différence de communication entre allemands/russes et américains, ou américains et japonais), soit par de l'incompétence parfois inévitable des employés de certaines boites (car bon, suffit d'une personne qui fasse une connerie et ça fait le tour du web libriste).
On a pas vraiment de stats sur le phénomène, juste des anecdotes mise en avant dans un environnement médiatique qui récompense la viralité et qui vont résonner avec certains schémas du libre, à savoir que le Codeur devrait être tout puissant, sans avoir de responsabilité vis à vis de personne.
Côté courriel, on en reçoit pour te fourguer tout et n'importe quoi, pour te placer de la pub, pour t'aider à remplacer des liens cassés par des sites de spam, des rapports de sécurité bidon, du phishing divers et varié pour cibler DNS/domaines/serveurs/comptes externes/etc., des injonctions de cabinets d'avocat.
Côté web, le trafic de bourrins des spammeurs / IA / moteurs de recherche, les cochoncetés laissées par les spammeurs, des gens qui nous offrent des audits de sécurité non sollicités, des bourrins qui configurent un flux RSS à récupération toutes les secondes, etc.
Côté modération, la position habituelle entre le marteau et l'enclume, un équilibre entre toujours trop et toujours pas assez, qui va conduire à des échanges sur différents canaux (tribunes, courriels, sur le site, en privé, etc.).
Côté développement, il n'y a jamais les fonctionnalités que les gens veulent, et parfois ils te l'expriment avec des remarques cinglantes, pensant que ça va accélérer le développement (qui est bien sûr retardé parce qu'on leur en veut personnellement et pas parce qu'on fait d'autres choses par ailleurs).
Côté légal, les exigences sont plutôt à la hausse (responsabilité des plateformes, réactivité sur les signalements, RGPD et minimisation des données, gestion de l'âge ?, obligation de cybersécurité ?).
Côté humain, la question du renouvellement des gens (assez classique chez les bénévoles), mais aussi une certaine usure via la modération et parfois les critiques perso, plus les gestions de situations pénibles (incidents, mises en demeures, cas de revenge porn, décès, tensions dans les équipes, etc.).
Certains de points ci-dessus sont liés au fait que le site est visible, avec des contenus générés par le lectorat. D'autres sont plutôt génériques.
On a pas vraiment de stats sur le phénomène, juste des anecdotes mise en avant dans un environnement médiatique qui récompense la viralité et qui vont résonner avec certains schémas du libre, à savoir que le Codeur devrait être tout puissant, sans avoir de responsabilité vis à vis de personne.
En termes de responsabilités, ça dépend si tu publies without warranty of any kind en tant que bénévole, ou si tu vends ton service/logiciel, si tu suis les législations de ton pays (par ex RGPD et minimisation).
Alors, un xkcd, ça ne fait que refléter ce qu'on croit, pas vraiment une étude. Ça conforte un peu mon point, à savoir que ça résonne.
Et on va pas ressortir la propagande de Microsoft des années 2000 et dire qu'il faut pas prendre Linux car ç'est pas maintenu par des boites. On s'est quand même battu pour en arriver la, et je pense qu'on a tendance à vite l'oublier.
les cas typiques genre openssl et xz
Si j'en crois ce site, il y a 320 millions de dépôts sur github et 5 millions d'utilisateurs. Même en se limitant à 0.1% qui serait un noyau dur de la communauté des libristes, ça reste énorme (et si quelqu'un vient me dire "tout le monde n'est pas sur github", ça donne une limite basse).
D'après ce site de la PSF, il y a 800 000 paquets pythons sur pypi. Sur les stats de lib.rs, on voit qu'il y a 250 000 crates pour 60 000 utilisateurs/équipes.
Dans tout les cas, c'est énorme.
Même avec le nombre d'attaque qu'on a eu en 2026, on reste quelques ordres de magnitude en dessous de la taille du libre sur toutes les métriques qu'on peut trouver.
Donc ouais, y a eu des soucis, mais quand je dit "c'est sur estimé", c'est par rapport à la taille de la communauté et la quantité de code. Le monde du libre, c'est plus vraiment une poignée de gens sur une liste de discussions, et j'ai le sentiment qu'on a tendance à vite l'oublier.
rien que le dernier khryspresso avec L’IA génère trop de failles de sécurité : les mainteneurs open source sont à bout, alerte l’OpenSSF
Ben je pense ça illustre bien le coté "environnement médiatique" de mon commentaire.
Pour commencer, contrairement au titre, ce qui est dit dans l'article n'est pas que l'IA génère des failles de sécu, mais des gens qui utilisent des IA pour écrire des rapports de sécurité (même si comme souvent quand on parle d'IA, la partie "humaine" est inexprimé). C'est quand un détail important.
Ensuite, l'article dit "face à des robots infiniment patients". C'est une citation de Crob, mais c'est surtout une citation d'une blague qu'il a fait. Et les robots ne sortent pas de nulle part, y a bien quelqu'un qui paye pour et qui s'en occupe. Bien sur, ça va pas aller avec l'imaginaire apocalyptique qui fait que ça devient viral.
Mais il y a d'autres imprécisions, comme le passage sur le CRA, je cite "le Cyber Resilience Act européen pourrait imposer aux mainteneurs bénévoles des obligations légales de répondre aux divulgations de vulnérabilités", ce qui est faux vu que primo, le CRA concerne les produits commerciaux (c'est une réglementation sur le fonctionnement du marché intérieur avant tout), donc exit la partie bénévole. En plus, les autorités de concurrence et/ou de sécurité ont sûrement des trucs plus importants que de s'occuper d'un codeur au Nebraska, pour reprendre l'exemple du xkcd. Je rappelle que seul les autorités administratives susnommés peuvent imposer des amendes, et qu'il n'y a aucun façon pour personne de porter plainte via le CRA. Le CRA n'est pas le RGPD, ça ne donne pas de droit, et encore moins de droit à ester en justice.
Je suis sur que je pourrais démonter plus l'article, mais je finir par dire qu'en copiant collant l'article dans GPTZero, l'outil indique que c'est probablement un article écrit par IA (j'imagine une traduction non relu de l'original en anglais). Alors on fait confiance ou pas à l'outil, mais c'est pas comme si l'éditeur du site avait une réputation irréprochable en France.
Et pour tout le reste, oui, y a des groupes qui ont les crocs, mais je ne pense pas que ça soit une question de géopolitique, ou en tout cas, pas récente. Par exemple, on pense que l'attaque sur axios vient de la Corée du Nord, et sauf erreur de ma part, Trump n'a rien fait à ce niveau.
Ensuite, encore une fois, je dit pas qu'il y a rien, je dit surtout qu'il y a une exagération pour les devs, dans le sens ou la majeur partie des projets non célèbres ne semblent pas crouler sous la charge (ou alors, je bosse sur des projets trop secure, mais j'ai des doutes). En fait, je dirait même que comme on a beaucoup plus de projets qu'il y a 20 ans, les emmerdes grimpent en même temps, mais juste parce qu'on a plus de projets.
Le cas de Linuxfr est différent, car c'est un site web, donc oui, tu as sans doute des tas d'attaques, tout comme je reçois parfois des emails pour me dire qu'il y a un souci sur jenkins ou gerrit car on peut y accéder depuis le web (ce qui est normal pour un projet libre, mais tout le monde ne semble pas le savoir).
Cela pose surtout question sur l'usage des scanners de vulnérabilités. Sont-ils pertinents et apportent-ils un réel gain de sécurité ?
Avoir un modèle de déploiement automatisé qui va chercher directement les dernières versions sur Github, ou autre, de ces outils est-il une bonne chose ?
question sur l'usage des scanners de vulnérabilités. Sont-ils pertinents et apportent-ils un réel gain de sécurité ?
Réponse courte : Oui.
Cette question est, selon moi, un peu comme demander si un antivirus est utile… Bien entendu, ces outils ne suffisent pas ou ne se suffisent ; Bien entendu, on peut s’en passer dans certains cas ; Mais on ne peut pas décréter que c’est globalement pas pertinent.
un modèle de déploiement automatisé qui va chercher directement les dernières versions sur Github, ou autre, de ces outils est-il une bonne chose ?
Réponse courte et avis personnel : Non.
Je ne comprends pas cette manie de courir après les dernières version …et ce de manière automatique. Je ne comprends pas pourquoi des déploiements se font avec des versions aléatoires de dépendances ; Tout comme je ne comprends pas la tendance à télécharger et lancer aveuglément des trucs issus de sites randoms (ou d’un site de microsoft ici mais cela ne change rien en fait)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# Le bon côté de la chose ?
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 9 (+6/-0).
Apparemment, ce n'est pas la première fois que l'on parle de la faille à l'origine de cette fuite (et de beaucoup d'autres) ici ; il y a même tout un historique.
C'est probablement extrêmement naïf de ma part, mais je vois de bons côtés potentiels dans l'affaire.
1) L'article évoque une remise en question des usages de cloud US par les institutions européennes. Mais j'imagine que quel qu'ait été la couleur ou la saveur du nuage employé, la faille aurait également pu être exploitée.
2) De mon côté, je me dit que ces « braves » pirates, une fois exploitée de manière sonnante et trébuchante leurs données les mettront peut-être en ligne ? Peut-être y gagnera-t-on de nouveaux dossiers de presse mettant en lumière quelques dysfonctionnement de nos institutions (pas si) publics. Ça pourrait conduire à corriger les dits problèmes. Qui sait ?
3) Mais peut-être que ça peut aussi conduire le législateur à s'interroger sur la pertinence de politiques de transparence totale (via porte dérobée par exemple) imposée aux citoyens de l'union ?
4) Ou bien à allouer un peu mieux les crédits de l'union ? Qui sait si une attaque comme celle-ci peut peser dans la future création d'un pôle public du logiciel Libre ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Le bon côté de la chose ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 10 (+10/-0).
La sécurité informatique exige rigueur , constance, permanence. Ça trie sur qui veut et peut le faire. Du côté développement on veut toujours plus, plus vite, du vibe codé, ne pas faire de maintenance (parce que chiante vu qu'il faut aussi rigueur, constance, permanence), et encore plus de dépendances. Ça ne peut pas bien se passer.
Pourquoi ça changerait à court terme ? Le coût des pertes et des amendes ? Peut-être, mais je n'y crois pas trop je dirais que ça fera plus de faillites surtout. NIS2 et CRA ? À voir.
Et indirectement pourquoi ça va être compliqué si une nouvelle génération de mainteneurs/euses de projets libres ne se lève pas, alors que les personnes fatiguent et doivent supporter les abus et autres harcèlements de sociétés abusives autour (on veut ça sans payer ni contribuer, on exige tel document, on exige telle réponse immédiate, etc.)
On devrait faire des comptes premium pour les personnes qui font la maintenance de projets libres…
[^] # Re: Le bon côté de la chose ?
Posté par Misc (site web personnel) . Évalué à 7 (+4/-0).
Je pense que ce genre de comportement est largement surestimé (d'une part), et sans doute plus causé par soit des différences d'ordre culturel (insérer ici mon laius sur la différence de communication entre allemands/russes et américains, ou américains et japonais), soit par de l'incompétence parfois inévitable des employés de certaines boites (car bon, suffit d'une personne qui fasse une connerie et ça fait le tour du web libriste).
On a pas vraiment de stats sur le phénomène, juste des anecdotes mise en avant dans un environnement médiatique qui récompense la viralité et qui vont résonner avec certains schémas du libre, à savoir que le Codeur devrait être tout puissant, sans avoir de responsabilité vis à vis de personne.
[^] # Re: Le bon côté de la chose ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 9 (+6/-0).
Je peux parler de ce que reçoit LinuxFr.org.
Côté courriel, on en reçoit pour te fourguer tout et n'importe quoi, pour te placer de la pub, pour t'aider à remplacer des liens cassés par des sites de spam, des rapports de sécurité bidon, du phishing divers et varié pour cibler DNS/domaines/serveurs/comptes externes/etc., des injonctions de cabinets d'avocat.
Côté web, le trafic de bourrins des spammeurs / IA / moteurs de recherche, les cochoncetés laissées par les spammeurs, des gens qui nous offrent des audits de sécurité non sollicités, des bourrins qui configurent un flux RSS à récupération toutes les secondes, etc.
Côté modération, la position habituelle entre le marteau et l'enclume, un équilibre entre toujours trop et toujours pas assez, qui va conduire à des échanges sur différents canaux (tribunes, courriels, sur le site, en privé, etc.).
Côté développement, il n'y a jamais les fonctionnalités que les gens veulent, et parfois ils te l'expriment avec des remarques cinglantes, pensant que ça va accélérer le développement (qui est bien sûr retardé parce qu'on leur en veut personnellement et pas parce qu'on fait d'autres choses par ailleurs).
Côté légal, les exigences sont plutôt à la hausse (responsabilité des plateformes, réactivité sur les signalements, RGPD et minimisation des données, gestion de l'âge ?, obligation de cybersécurité ?).
Côté humain, la question du renouvellement des gens (assez classique chez les bénévoles), mais aussi une certaine usure via la modération et parfois les critiques perso, plus les gestions de situations pénibles (incidents, mises en demeures, cas de revenge porn, décès, tensions dans les équipes, etc.).
Certains de points ci-dessus sont liés au fait que le site est visible, avec des contenus générés par le lectorat. D'autres sont plutôt génériques.
Le pas récent xkcd sur le dév du Nebraska, les cas typiques genre openssl et xz, la création de l'openssf, rien que le dernier khryspresso avec L’IA génère trop de failles de sécurité : les mainteneurs open source sont à bout, alerte l’OpenSSF et Top NPM Maintainers Targeted with AI Deepfakes in Massive Supply-Chain Attack, Axios Briefly Compromised, la montée des tensions géopolitiques donc plus d'attaques sur les chaînes d'approvisionnement, la montée de la cybercriminalité organisée donc plus d'attaques partout, etc.
En termes de responsabilités, ça dépend si tu publies without warranty of any kind en tant que bénévole, ou si tu vends ton service/logiciel, si tu suis les législations de ton pays (par ex RGPD et minimisation).
[^] # Re: Le bon côté de la chose ?
Posté par Misc (site web personnel) . Évalué à 6 (+3/-0).
Alors, un xkcd, ça ne fait que refléter ce qu'on croit, pas vraiment une étude. Ça conforte un peu mon point, à savoir que ça résonne.
Et on va pas ressortir la propagande de Microsoft des années 2000 et dire qu'il faut pas prendre Linux car ç'est pas maintenu par des boites. On s'est quand même battu pour en arriver la, et je pense qu'on a tendance à vite l'oublier.
Si j'en crois ce site, il y a 320 millions de dépôts sur github et 5 millions d'utilisateurs. Même en se limitant à 0.1% qui serait un noyau dur de la communauté des libristes, ça reste énorme (et si quelqu'un vient me dire "tout le monde n'est pas sur github", ça donne une limite basse).
D'après ce site de la PSF, il y a 800 000 paquets pythons sur pypi. Sur les stats de lib.rs, on voit qu'il y a 250 000 crates pour 60 000 utilisateurs/équipes.
Dans tout les cas, c'est énorme.
Même avec le nombre d'attaque qu'on a eu en 2026, on reste quelques ordres de magnitude en dessous de la taille du libre sur toutes les métriques qu'on peut trouver.
Donc ouais, y a eu des soucis, mais quand je dit "c'est sur estimé", c'est par rapport à la taille de la communauté et la quantité de code. Le monde du libre, c'est plus vraiment une poignée de gens sur une liste de discussions, et j'ai le sentiment qu'on a tendance à vite l'oublier.
Ben je pense ça illustre bien le coté "environnement médiatique" de mon commentaire.
Pour commencer, contrairement au titre, ce qui est dit dans l'article n'est pas que l'IA génère des failles de sécu, mais des gens qui utilisent des IA pour écrire des rapports de sécurité (même si comme souvent quand on parle d'IA, la partie "humaine" est inexprimé). C'est quand un détail important.
Ensuite, l'article dit "face à des robots infiniment patients". C'est une citation de Crob, mais c'est surtout une citation d'une blague qu'il a fait. Et les robots ne sortent pas de nulle part, y a bien quelqu'un qui paye pour et qui s'en occupe. Bien sur, ça va pas aller avec l'imaginaire apocalyptique qui fait que ça devient viral.
Mais il y a d'autres imprécisions, comme le passage sur le CRA, je cite "le Cyber Resilience Act européen pourrait imposer aux mainteneurs bénévoles des obligations légales de répondre aux divulgations de vulnérabilités", ce qui est faux vu que primo, le CRA concerne les produits commerciaux (c'est une réglementation sur le fonctionnement du marché intérieur avant tout), donc exit la partie bénévole. En plus, les autorités de concurrence et/ou de sécurité ont sûrement des trucs plus importants que de s'occuper d'un codeur au Nebraska, pour reprendre l'exemple du xkcd. Je rappelle que seul les autorités administratives susnommés peuvent imposer des amendes, et qu'il n'y a aucun façon pour personne de porter plainte via le CRA. Le CRA n'est pas le RGPD, ça ne donne pas de droit, et encore moins de droit à ester en justice.
Je suis sur que je pourrais démonter plus l'article, mais je finir par dire qu'en copiant collant l'article dans GPTZero, l'outil indique que c'est probablement un article écrit par IA (j'imagine une traduction non relu de l'original en anglais). Alors on fait confiance ou pas à l'outil, mais c'est pas comme si l'éditeur du site avait une réputation irréprochable en France.
Et pour tout le reste, oui, y a des groupes qui ont les crocs, mais je ne pense pas que ça soit une question de géopolitique, ou en tout cas, pas récente. Par exemple, on pense que l'attaque sur axios vient de la Corée du Nord, et sauf erreur de ma part, Trump n'a rien fait à ce niveau.
Ensuite, encore une fois, je dit pas qu'il y a rien, je dit surtout qu'il y a une exagération pour les devs, dans le sens ou la majeur partie des projets non célèbres ne semblent pas crouler sous la charge (ou alors, je bosse sur des projets trop secure, mais j'ai des doutes). En fait, je dirait même que comme on a beaucoup plus de projets qu'il y a 20 ans, les emmerdes grimpent en même temps, mais juste parce qu'on a plus de projets.
Le cas de Linuxfr est différent, car c'est un site web, donc oui, tu as sans doute des tas d'attaques, tout comme je reçois parfois des emails pour me dire qu'il y a un souci sur jenkins ou gerrit car on peut y accéder depuis le web (ce qui est normal pour un projet libre, mais tout le monde ne semble pas le savoir).
[^] # Re: Le bon côté de la chose ?
Posté par Voltairine . Évalué à 3 (+1/-0).
Cela pose surtout question sur l'usage des scanners de vulnérabilités. Sont-ils pertinents et apportent-ils un réel gain de sécurité ?
Avoir un modèle de déploiement automatisé qui va chercher directement les dernières versions sur Github, ou autre, de ces outils est-il une bonne chose ?
[^] # Re: Le bon côté de la chose ?
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
Réponse courte : Oui.
Cette question est, selon moi, un peu comme demander si un antivirus est utile… Bien entendu, ces outils ne suffisent pas ou ne se suffisent ; Bien entendu, on peut s’en passer dans certains cas ; Mais on ne peut pas décréter que c’est globalement pas pertinent.
Réponse courte et avis personnel : Non.
Je ne comprends pas cette manie de courir après les dernières version …et ce de manière automatique. Je ne comprends pas pourquoi des déploiements se font avec des versions aléatoires de dépendances ; Tout comme je ne comprends pas la tendance à télécharger et lancer aveuglément des trucs issus de sites randoms (ou d’un site de microsoft ici mais cela ne change rien en fait)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.