Sécurité sous Linux : Intel accusé d'avoir contraint Grsecurity à moins d'ouverture

grsecurity



Même si Linux a la réputation d'être le système le plus sûr du monde, sa sécurité est régulièrement mise à l'épreuve et elle le sera de plus en plus avec la multiplication des objets connectés qui, bien souvent, dépendent d'un noyau Linux. C'est donc pour renforcer la sécurité qu'une équipe propose depuis près de quinze ans un patch libre et open-source de chaque nouveau noyau Linux, grsecurity, administré par la société Open Source Security. Celle-ci vit des dons de la communauté, des sponsors, et de ses prestations de consulting dans la sécurité informatique.

Mais l'équipe de grsecurity a annoncé mercredi qu'elle cesserait de distribuer publiquement sous licence libre les versions stables de son patch, et qu'elle les réserverait désormais aux sponsors qui payeront pour avoir le droit de l'exploiter. Sans la citer sous les conseils de son avocat, mais de façon suffisamment explicite pour que tout le monde comprenne, l'équipe dirigée par Brad Spengler accuse Intel de l'avoir contraint à prendre une telle décision.

Spengler raconte en effet que de puissants industriels intègrent les patchs de grsecurity dans leurs solutions embarquées pour les objets connectés ou autres mobiles, en profitant de la licence GPL et de la disponibilité du code source pour ne pas dépenser un centime. Mais certaines d'entre elles, dont Intel, modifieraient le patch sans reverser leurs contributions à la communauté (comme l'impose la licence) ou, pire, prétendraient que grsecurity est implémenté dans leur produit alors qu'il est basé sur un noyau Linux qui n'est pas encore supporté par grsecurity.

DE VRAI-FAUX PATCHS GRSECURITY

Le patch est par exemple cité explicitement dans cette documentation technique (.pdf) sur les profils de sécurité proposés sur les passerelles IoT Intel qui "avec des composants logiciels et matériels de base pré-intégrés et pré-validés, relient les systèmes existants et nouveaux et permettent un flux de données transparent et sécurisé entre les périphériques et le Cloud". "Elles intègrent des technologies et protocoles de mise en réseau, de contrôle embarqué, de sécurité de niveau professionnel et d'administrabilité simplifiée sur lesquels les logiciels d'application reposent", assure Intel.

Or selon grsecurity (qui se contente de parler d'une "entreprise mutli-millardaire qui a fait de grsecurity un composant critique de sa plateforme embarquée"), la promesse de sécurité ne peut pas être faite en utilisant la marque déposée "grsecurity", alors que que le patch utilisé ne serait pas recommandé pour le noyau Linux embarqué, ni son éventuelle adaptation.

L'équipe a mis en demeure Intel de cesser d'utiliser grsecurity ou de se plier aux conditions de la licence, mais l'équipe juridique aurait refusé, estimant qu'il était dans son bon droit d'utiliser le logiciel libre, et niant l'avoir modifié malgré des preuves supposées démontrant qu'un employé d'Intel avait demandé conseils sur le forum du projet. La firme aurait par ailleurs menacé d'exercer tous les recours possibles et imaginables pour que l'éventuelle action judiciaire se transforme en gouffre financier.

D'où la décision de ne plus fournir à Intel et à tous les autres une version stable du patch, mais de continuer à publier une version en cours de développement pour ne pas handicaper des projets libres comme Gentoo Hardened et Arch Linux.

L'annonce a mis en colère la communauté du libre et de la sécurité informatique, dont l'activiste et hacker Jacob Applebaum qui parle d'une nouvelle "terrible" et "tragique" et qui n'hésite pas à pointer du doigt Intel, et la solution de terminaux de paiements Verifone :

Laisser un commentaire

(*) champs obligatoires ;)