L'affaire Log4Shell fait des remous. Début décembre, une faille majeure a été découverte sur l'outil de journalisation open source Log4j. De nombreux services du web ont été touchés comme iCloud, Twitter ou encore Steam et Minecraft. Suite à ces évènements, la Maison-Blanche a organisé hier une réunion pour discuter de l'affaire. De très gros poissons du web et de la tech étaient présents, avec notamment Google, Facebook, Amazon mais aussi Apple. La sécurité des projets open source a été discutée, et Google demande à ce que le gouvernement mette la main à la pâte.
Google a publié un billet de blog dans lequel il appelle à une meilleure collaboration entre le gouvernement et le secteur privé. Si l'entreprise injecte régulièrement des fonds dans l'open source (par des dons aux associations, un engagement dans la cybersécurité), elle regrette que la sécurité de nombreux projets importants soit délaissée :
Pendant trop longtemps, la communauté du logiciel s'est confortée dans l'idée que les logiciels libres étaient généralement sûrs en raison de leur transparence et de l'hypothèse selon laquelle « de nombreux yeux » veillaient à détecter et à résoudre les problèmes. Mais en fait, si certains projets ont effectivement de nombreux yeux, d'autres en ont peu ou pas du tout.
Google observe qu'il n'y a pas d'allocation officielle ou de norme formelle pour maintenir la sécurité de certains morceaux de code critique qui sont utilisés dans des infrastructures publiques importantes. Les corrections et travaux sont faits sur le coup et sur la base du volontariat alors que des projets de plus en plus massifs reposent sur de l'open source. « Les logiciels libres constituent le tissu connecteur d'une grande partie du monde en ligne. Ils méritent la même attention et le même financement que ceux que nous accordons à nos routes et à nos ponts », explique l'entreprise.
Par conséquent, Google demande à ce qu'un partenariat public-privé soit créé permettant de mieux surveiller les projets open source. Elle considère que de nouvelles normes de sécurité et de maintenance sont nécessaires afin de pouvoir classer les failles par ordre d'importance. Le but serait également d'allouer des ressources pour les projets les plus essentiels, et d'anticiper les problèmes sur le long terme. « La réunion d'aujourd'hui à la Maison-Blanche était à la fois une reconnaissance de ce défi et un premier pas important pour le relever », conclut l'entreprise.
