MICROSOFT CORPORATION 
M. Freund, qui travaille pour Microsoft à San Francisco, a découvert que la dernière version du logiciel libre XZ Utils avait été délibérément sabotée par l'un de ses développeurs, ce qui aurait pu ouvrir une porte secrète vers des millions de serveurs sur l'internet.
Selon les experts en sécurité, ce n'est que parce que M. Freund a repéré le changement avant que la dernière version de XZ ne soit largement déployée que le monde a été épargné d'une crise de la sécurité numérique.
Nous avons vraiment évité une balle, a déclaré Satnam Narang, chercheur en sécurité chez Tenable, qui a suivi les retombées de cette découverte. C'est l'un de ces moments où l'on doit s'essuyer les sourcils et se dire que l'on a vraiment eu de la chance sur ce coup-là.
Cet incident a recentré l'attention sur la sécurité des logiciels libres - des programmes gratuits, souvent gérés par des bénévoles, dont la transparence et la flexibilité font qu'ils sont à la base de l'économie de l'internet.
De nombreux projets de ce type dépendent d'un petit cercle de volontaires non rémunérés qui se battent pour se sortir d'une pile de demandes de correctifs et de mises à jour.
XZ, une suite d'outils de compression de fichiers intégrés aux distributions du système d'exploitation Linux, a longtemps été maintenu par un seul auteur, Lasse Collin.
Ces dernières années, il a semblé être mis à rude épreuve.
Dans un message posté sur une liste de diffusion publique en juin 2022, Collin a déclaré qu'il était confronté à des "problèmes de santé mentale à long terme" et a laissé entendre qu'il travaillait en privé avec un nouveau développeur nommé Jia Tan et que ce dernier aurait peut-être un rôle plus important à jouer à l'avenir.
Les journaux de mise à jour disponibles sur le site de logiciels libres Github montrent que le rôle de Tan s'est rapidement élargi. En 2023, les journaux montrent que Tan fusionnait son code dans XZ, signe qu'il avait gagné un rôle de confiance dans le projet.
Mais les experts en cybersécurité qui ont parcouru les journaux affirment que M. Tan se faisait passer pour un bénévole utile. Au cours des mois suivants, ils affirment que Tan a introduit une porte dérobée presque invisible dans XZ.
Collin n'a pas répondu aux messages sollicitant un commentaire et a déclaré sur son site web qu'il ne répondrait pas aux journalistes tant qu'il ne comprendrait pas suffisamment bien la situation pour le faire.
Tan n'a pas répondu aux messages envoyés sur son compte Gmail. Reuters n'a pas été en mesure de déterminer qui est Tan, où il se trouve ou pour qui il travaillait, mais beaucoup de ceux qui ont examiné ses mises à jour pensent que Tan est un pseudonyme pour un hacker expert ou un groupe de hackers - probablement un qui travaille pour le compte d'un puissant service de renseignement.
Il ne s'agit pas d'une affaire de maternelle, a déclaré Omkhar Arasaratnam, directeur général de l'Open Source Security Foundation, qui s'efforce de défendre des projets comme XZ. C'est incroyablement sophistiqué.
NOUS AVONS EU DE LA CHANCE
Tan aurait pu facilement s'en tirer sans Freund, le développeur de Microsoft, dont la curiosité a été piquée lorsqu'il a remarqué que la dernière version de XZ utilisait par intermittence une quantité inattendue de puissance de traitement sur le système qu'il testait.
Microsoft a refusé d'accorder une interview à M. Freund, mais dans des courriels rendus publics et des messages publiés sur les réseaux sociaux, ce dernier a déclaré qu'une série d'indices faciles à manquer l'ont incité à découvrir la porte dérobée.
La découverte a vraiment nécessité de nombreuses coïncidences, a déclaré M. Freund sur le réseau social Mastodon.
Le PDG de Microsoft, Satya Nadella, a félicité M. Freund au cours du week-end, déclarant dans un message sur le réseau social X qu'il aimait voir comment le développeur, avec sa curiosité et son savoir-faire, était capable de nous aider tous.
Dans la communauté des logiciels libres, la découverte a donné à réfléchir. Les bénévoles qui assurent la maintenance des logiciels sur lesquels repose l'internet ne sont pas étrangers à l'idée d'être peu payés ou peu reconnus, mais le fait de réaliser qu'ils sont désormais traqués par des espions bien dotés en ressources qui se font passer pour de bons samaritains a été incroyablement intimidant, a déclaré M. Arasaratnam, de la Fondation pour la sécurité du logiciel libre.
Les représentants du gouvernement évaluent également les implications de ce quasi-accident, qui a mis en exergue les préoccupations relatives à la protection des logiciels libres. Anajana Rajan, directrice nationale adjointe de la cybernétique, a déclaré à Politico qu'il y avait beaucoup de discussions à avoir sur ce que nous ferions ensuite pour protéger le code source ouvert.
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) indique qu'elle a incité les entreprises américaines qui utilisent des logiciels libres à réinjecter des ressources dans les communautés qui les construisent et les maintiennent. Jack Cable, conseiller de la CISA, a déclaré à Reuters qu'il incombait aux entreprises technologiques non seulement de vérifier les logiciels ouverts, mais aussi de contribuer à la création d'un écosystème durable de logiciels ouverts, dont nous tirons tant de valeur.
Il n'est pas certain que les entreprises de logiciels soient correctement incitées à le faire. Les listes de diffusion en ligne sur les logiciels libres regorgent de plaintes concernant des géants de la technologie qui demandent à des bénévoles de résoudre des problèmes liés à des logiciels libres que ces entreprises utilisent pour gagner des milliards de dollars.
Quelle que soit la solution, presque tout le monde s'accorde à dire que l'épisode du XZ montre que quelque chose doit changer.
Nous avons eu une chance déraisonnable, a déclaré M. Freund dans un autre billet de Mastodon. Nous ne pouvons plus compter sur cela à l'avenir. (Reportage de Raphael Satter, édition de Chris Sanders et Nick Zieminski)
