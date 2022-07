Mais alors que le mouvement open source a engendré un écosystème colossal dont nous dépendons tous, nous ne le comprenons pas pleinement, affirment des experts comme Aitel. Il existe d’innombrables projets logiciels, des millions de lignes de code, de nombreuses listes de diffusion et forums, et un océan de contributeurs dont l’identité et la motivation sont souvent obscures, ce qui rend difficile leur responsabilisation.

Cela peut être dangereux. Par exemple, les pirates ont discrètement inséré code malveillant dans des projets open source à de nombreuses reprises ces dernières années. Bportes ouvertes peuvent longtemps échapper à la détection et, dans le pire des cas, des projets entiers ont été remis aux mauvais acteurs qui profitent de la confiance que les gens accordent aux communautés et au code open source. Parfois, il y a des perturbations ou même prises de contrôle des réseaux sociaux mêmes dont dépendent ces projets. Le suivi de tout cela a été principalement—pourtant pas entièrement— un effort manuel, ce qui signifie qu’il ne correspond pas à la taille astronomique du problème.

Bratus soutient que nous avons besoin d’apprentissage automatique pour digérer et comprendre l’univers en expansion du code – ce qui signifie des astuces utiles comme la découverte automatisée des vulnérabilités – ainsi que des outils pour comprendre la communauté des personnes qui écrivent, corrigent, implémentent et influencent ce code.

Le but ultime est de détecter et de contrer toute campagne malveillante visant à soumettre du code défectueux, à lancer des opérations d’influence, à saboter le développement ou même à prendre le contrôle de projets open source.

Pour ce faire, les chercheurs utiliseront des outils tels que l’analyse des sentiments pour analyser les interactions sociales au sein des communautés open source telles que la liste de diffusion du noyau Linux, ce qui devrait aider à identifier qui est positif ou constructif et qui est négatif et destructeur.

Les chercheurs veulent savoir quels types d’événements et de comportements peuvent perturber ou blesser les communautés open source, quels membres sont dignes de confiance et s’il existe des groupes particuliers qui justifient une vigilance accrue. Ces réponses sont nécessairement subjectives. Mais pour le moment, il existe peu de moyens de les trouver.

Les experts craignent que les angles morts des personnes qui exécutent des logiciels open source rendent l’ensemble de l’édifice mûr pour des manipulations et des attaques potentielles. Pour Bratus, la principale menace est la perspective d’un « code non fiable » exécutant l’infrastructure critique de l’Amérique, une situation qui pourrait inviter de mauvaises surprises.

Questions sans réponse

Voici comment fonctionne le programme SocialCyber. La DARPA a passé des contrats avec plusieurs équipes de ce qu’elle appelle des “interprètes”, y compris de petits magasins de recherche en cybersécurité avec des compétences techniques approfondies.