« L’intrusion de la géopolitique dans l’écosystème de l’open source est particulièrement inquiétante »

La quasi-totalité des logiciels utilisés par les particuliers, les entreprises et les gouvernements à travers le monde contiennent des composants open source − ces logiciels développés de façon collaborative et dont le code source est ouvert et accessible à tous pour être examiné, copié et modifié. Issu du mouvement pour les logiciels libres, l’open source est avant tout plébiscité comme une alternative aux solutions dites « propriétaires ».

Paradoxalement, il a été de plus en plus investi par les grandes entreprises technologiques, au risque de se voir dévoyé. Si elles ont été initialement réticentes au mouvement du logiciel libre lors de son émergence dans les années 1980, le jugeant contraire au principe de la propriété intellectuelle à la base de leur modèle économique, ces entreprises, notamment américaines, ont compris que recourir à l’open source permet des économies et une accélération de l’innovation, et facilite l’adoption et la diffusion des solutions développées. Google, Microsoft, Amazon et Intel sont aujourd’hui dans le top 5 des plus gros contributeurs aux projets open source hébergés sur la plate-forme GitHub, elle-même rachetée par Microsoft en 2018. Meta, pour sa part, développe son projet-phare de logiciel d’apprentissage machine, PyTorch, en open source.

Des erreurs aux graves conséquences

Grâce à cette stratégie, le logiciel est déjà considéré comme un leader du marché de l’intelligence artificielle, avec plus de 150 000 projets construits sur GitHub avec PyTorch. Or ce modèle est aujourd’hui victime de son succès. Si les projets des grandes plates-formes comptent des milliers de contributeurs, nombre de composants critiques utilisés très largement, par exemple dans les serveurs Web ou dans les systèmes de paiements en ligne, sont des projets open source développés et maintenus par de petites équipes de développeurs parfois bénévoles.

Des erreurs, volontaires ou non, dans ces codes peuvent avoir de sérieuses conséquences si elles sont exploitées. Ce fut le cas, il y a tout juste un an, avec « Log4Shell », une vulnérabilité sur le logiciel de journalisation Log4j présent sur de nombreuses applications et sites Web utilisant le langage Java.

Cette faille, considérée comme l’une des pires de l’histoire d’Internet, permettait à un attaquant de prendre le contrôle d’une application, voire d’un système d’information. Elle aurait été activement exploitée par des cybercriminels, mais aussi par des attaquants travaillant pour les gouvernements russe, chinois, iranien et nord-coréen.

Le risque de l’ingérence étrangère

Les gouvernements, surtout après Log4j, ont compris l’importance cruciale de l’open source, et le traitent de plus en plus comme un enjeu stratégique. Jusque-là, l’Etat n’était qu’un consommateur et un contributeur parmi d’autres. Aujourd’hui, des politiques publiques sont élaborées, ou renforcées, pour faire l’inventaire des composants critiques et contribuer plus directement à financer leur maintenance.

Si l’intérêt des pouvoirs publics pour cet enjeu est louable, on peut s’interroger sur les effets que cette plus grande implication aura sur l’écosystème de l’open source mondial. L’intrusion de la géopolitique dans cet écosystème est particulièrement inquiétante. Les failles involontaires, on l’a vu, peuvent être exploitées pour mener des cyberattaques.

Mais les acteurs de la sécurité nationale craignent aussi une ingérence étrangère dans les codes sources eux-mêmes, qui pourraient être sabotés. Les développeurs issus de pays soumis à des sanctions américaines peuvent ainsi se voir suspendus de la plate-forme collaborative GitHub. Ce fut le cas pour l’Iran sous l’administration Trump, et ça l’est maintenant pour des développeurs russes travaillant pour des entreprises sous sanctions.

La position particulière de l’Europe

Aujourd’hui, les Etats-Unis accroissent leur vigilance sur l’origine des composants open source utilisés par le gouvernement fédéral. Certains voient aussi dans l’open source un risque de voir les adversaires des Etats-Unis, principalement la Chine, exploiter les codes sources ouverts pour acquérir des technologies en dépit des sanctions, notamment dans le design de semi-conducteurs.

De fait, en Chine, la rivalité avec les Etats-Unis et les sanctions américaines ont poussé des secteurs stratégiques de l’industrie à recourir à l’open source pour développer des technologies nationales. Mais, suivant une logique contraire aux principes du logiciel libre, Pékin vise désormais la constitution d’une communauté nationale de développeurs, et a renforcé, à l’été 2022, son contrôle sur les contributeurs à la plate-forme chinoise Gitee.

Pour sa part, l’Europe cherche à combiner ses ambitions de souveraineté numérique et la préservation de « communs numériques » mondiaux. Cette vision est notamment promue par la France à Bruxelles.

Pour un Internet ouvert et respectueux des libertés

L’approche moins sécuritaire de l’Europe et la richesse de son vivier de contributeurs en font désormais un acteur de plus en plus important de l’open source mondial, comme l’ont montré les récentes relocalisations de fondations américaines en Europe (Linux, Eclipse, RISC-V), en partie motivées par le désir d’échapper à de potentielles restrictions américaines sur les logiciels open source.

Alice Pannier, chercheuse et responsable du programme Géopolitique des technologies de l’Institut français des relations internationales /IFRI, est autrice de l’étude « Sources d’influence. Enjeux économiques et géopolitiques des logiciels open source » (IFRI, décembre 2022).

> Lire la tribune sur le site du Monde