Au bout du rouleau, un développeur sabote ses logiciels open source

10/01/2022

Quand la colère éclate, ça peut faire mal

Quand la colère éclate, ça peut faire mal - Pxhere

Le développeur des librairies JavaScript « colors » et « faker », utilisées dans des dizaines de milliers de logiciels les a sabordées. Un événement qui pose, une nouvelle fois, la question de la sécurité de la chaîne logistique logicielle, et de la rémunération des développements open source.

Il est dégoûté et il le fait savoir. Il y a quelques jours, le développeur Marak Squires a décidé de saboter deux de ses logiciels open source, à savoir les librairies colors‧js et faker‧js.

La première permet d’utiliser des caractères de couleur dans une console d’administration en ligne de commande et, selon GitHub, est utilisée dans plus de 27 000 autres paquets logiciels. La seconde est capable de générer d’importantes quantités de données de test, ce qui est très utile pour le développement de logiciels. Elle est référencée dans plus de 6 000 paquets logiciels.

Mais les dernières mises à jour réalisées Marak Squires rendent ces logiciels inopérants. Colors‧js fait afficher les mots « Liberty », avant de rentrer dans une boucle infinie qui crée un fatras de caractères sur l’écran.

GitHub Forum -

La dernière version de Faker‧js (v6.6.6), pour sa part, génère une erreur de compilation (« Module not found: Can’t resolve ‘faker’ »). Normal, car le code source a totalement été vidé sur GitHub, il ne restait que le mot « endgame », comme a pu le constater le YouTubeur Fireship.

Capture YouTube - Fireship

Quand il est interpellé par d’autres utilisateurs sur GitHub, Marak Squires répond de façon ironique. Il dit d’abord qu’il s’agit d’un bug de type « texte zalgo » (qui se caractérise par un rajout exagéré de signes diacritiques provoquant des débords graphiques). Puis il indique ne pas pouvoir s’en occuper, car il doit « préparer la distribution de la soupe à l’église pour dimanche prochain ».

Bleeping Computers a finalement trouvé l’origine de ce sabotage. En novembre 2020, après avoir perdu tous ses biens dans l’incendie de son appartement, si on en croit un de ses tweets postés fin octobre 2020, Marak Squires avait dit qu’il arrêtait le développement de Faker‧js dans ces conditions.

« Je ne vais plus soutenir les Fortune 500 (et d’autres entreprises de plus petite taille) avec mon travail gratuit. Il n’y a pas grand chose d’autre à dire. Ou bien vous m’envoyez un contrat annuel à six chiffres, ou bien vous forkez le projet et demandez à quelqu’un d’autre de travailler dessus », peut-on lire dans un message de forum.

GitHub Forum -

Comme on peut le voir dans une note de blog, le développeur a d’abord essayé de trouver des sponsors, mais il n’a récolté que des queues de cerises.

Il a ensuite essayé de transformer Faker‧js en un service cloud payant. Malheureusement, ce service a été répliqué plusieurs mois plus tard par un éditeur tiers, lui coupant l’herbe sous les pieds. Suite à cet échec, il a visiblement perdu la tête et s’est résolu à saboter son propre travail.

Cet acte n’est pas sans conséquence. GitHub a suspendu son compte, le privant d’accès à des centaines de projets auxquels il participait. Ce n’est pas très étonnant, car avec la mise à jour de Colors‧js, Marak Squires a délibérément publié un code malveillant qui a mis dans la panade beaucoup d’informaticiens.

Il est évident qu’un tel « attentat » va à l’encontre des conditions d’utilisation de GitHub. Sur le fond, Marak Squires soulève néanmoins une importante question, qui est celle de la rémunération des projets open source et leur exploitation éhontée par des éditeurs qui n’apportent rien en retour à la communauté. Un problème qui est aussi vieux que l’open source.

Source : Bleeping Computers

En savoir plus …