Au coeur des enjeux géopolitiques de l’open source

80 à 96% des codes qui composent les logiciels du marché actuel sont originaires de l’open source selon l’Institut français des relations internationales (IFRI).¹ Le modèle de l’open source est à un tournant où deux réalités s’opposent : la liberté qui a fait le fondement de ses principes d’une part, et la nécessité pour les Etats de reprendre la main sur un enjeu géopolitique croissant.

PAR THEO LHEN TALLIEU

Failles de sécurité mondiales

Dans son étude de 2022, l’entreprise américaine Synopsys estimait que 88% des bases de codes comprenaient des composantes open source n’ayant connu aucune activité de développement et mises à jour au cours des deux dernières années.² Une maintenance pourtant critique, sachant l’ampleur que peuvent représenter les failles de sécurité à l’image de Log4Shell ayant touché l’utilitaire Java Log4j utilisé par de nombreuses applications et sites web utilisant le langage Java. Cette faille, exploitée depuis fin 2021, peut permettre à un attaquant de prendre le contrôle d’une application, voire d’un système d’information. « Les erreurs dans le code constituent le gros des failles exploitées. » explique Alice Pannier, responsable du programme Géopolitique des technologies à l’IFRI. « Ces failles peuvent aussi être volontaires dans le cas de techniques de confusion de dépendance qui reposent sur la diffusion de fichiers open source vérolés pour faire en sorte que les développeurs téléchargent sur leurs terminaux des logiciels malveillants. » La chercheuse note une explosion de l’exploitation de ces failles, de l’ordre de 600% depuis 2021. Une tendance claire qui s’explique par une superposition d’intérêts : enjeux économiques, de cybersécurité et d’innovation font de l’open source un objet géopolitique à part entière, dont les failles offrent l’opportunité d’ingérences. Pour Log4Shell, l’exploitation de la vulnérabilité a été attribuée par les agences américaines à des groupes d’attaquants proches de la Russie, de la Chine, de l’Iran ou de la Corée du Nord. « L’open source ne présente pas nécessairement un risque plus important qu’un logiciel propriétaire comme l’a prouvé la cyberattaque majeure qui a touché Solarwinds en 2020. Globalement, les attaques contre les logiciels dépendent plus de l’ampleur de leur utilisation que de leur nature. La surface d’utilisation de certains composants open source en font de ce fait des éléments critiques.» précise Alice Pannier.

Incertitudes juridico-politiques

Tandis que les sanctions à l’égard de Moscou empêchent l’accès des contributeurs russes à la plateforme de dépôt de code GitHub, l’essence de l’open source perd son sens initial à mesure que les reprises politiques façonnent l’avenir d’un modèle né de l’utopie des années 1990. L’idéal libre et collaboratif autour de l’open source se heurte désormais à la domination des Big Tech qui investissent massivement dans ces solutions et en transforment les fondements au profit d’un contrôle américain. En 2018, Microsoft rachetait GitHub. Autre évolution : la professionnalisation des contributeurs. Seul 15% du code open source Linux est encore produit par des bénévoles.³ Des évolutions qui vont de pair avec une reconsidération juridique, non sans difficultés. L’affaire Tornado Cash d’août 2022 illustre la confusion que rencontrent les juridictions dans leur objectif de responsabiliser les développeurs. Détourné à des fins criminelles par le groupe Lazarus pour capter des fonds, le mixeur de cryptomonnaies Tornado Cash a été sanctionné l’an dernier par l’Office of Foreign Assests Control (OFAC), interdisant sa diffusion sur GitHub pendant plusieurs mois. Son programmeur Alexey Perstev, incarcéré aux Pays-Bas, purge toujours sa peine en dépit des revendications de la communauté de l’open source qui s’inquiète de l’orientation de la justice américaine vers une criminalisation des contributeurs, à défaut de pouvoir poursuivre les responsables de l’infraction. Cette tendance tend pourtant à refaçonner les pratiques en profondeur. « Un autre élément prégnant structure les discussions actuelles: la question de l’anonymat sur les plateformes de dépôt de code telles GitHub qui hésite aujourd’hui à requérir de la part de ses utilisateurs une preuve d’identité. » ajoute Alice Pannier.  

Implications étatiques croissantes

De la géopolitisation de l’open source découle logiquement le changement de posture des Etats, qui tentent de se saisir de ce champ. Pour Alice Pannier, les postures sont claires : «Dans la continuité de la pensée techno-nationaliste, Pékin tente de développer des communautés open source nationales et passe en revue les projets, les contributions et s’assure qu’aucune fuite n’ait lieu dans le domaine public concernant les innovations trop importantes pour l’Etat. » Dans le même temps, la Chine gagne du terrain dans le domaine de l’open source au travers d’une communauté florissante poussée par Tencent, Huawei et Alibaba : la nationalité chinoise est désormais la deuxième la plus représentée sur la plateforme GitHub. Cette implication croissante de l’Etat chinois s’explique par le fait que les entreprises restent tributaires de l’open source dans des domaines stratégiques, notamment pour le matériel et les logiciels utilisés dans la fabrication des semi-conducteurs. Dans ce domaine, les géants de la tech chinoises participent au développement de RISC-V et accélèrent leur implication dans le domaine au travers de la China RISC-V Alliance.⁴ Côté américain, l’après Log4Shell s’est traduit par une implication croissante des acteurs politiques au Congrès et à la Maison Blanche. Dès janvier 2022, la réunion entre GAFAM, grandes plateformes de l’open source et agences gouvernementales a marqué une forte revalorisation des objectifs de sécurité. Adoptées le 14 septembre dernier, les directives américaines visant à limiter les risques de vulnérabilités dans les chaînes d’approvisionnement logicielles ciblent particulièrement l’open source : les fournisseurs de logiciels doivent désormais faire évaluer les produits open source qu’ils intègrent par une organisation certifiée par le Federal Risk and Authorization Management Program. Ces préoccupations américaines montantes traduisent toute la crainte d’ingérences étrangères, qui a toutes les chances de croitre à mesure que les développeurs russes et chinois continuent d’accélérer leurs investissements dans l’open source.  

L’Europe : nouvel eldorado?

« En anticipation des politiques américaines qui restreindraient leurs possibilités, plusieurs fondations se tournent désormais vers l’Europe pour déplacer leur activité. » souligne Alice Pannier. Les relocalisations de la fondation Eclipse en Belgique, de RISC-V en Suisse ou encore l’ouverture de la branche « Europe » de la fondation Linux montrent bien l’intérêt grandissant de l’écosystème de l’open source pour le Vieux-Continent. L’initiative de l’Union européenne Next Generations Internet (NGI) finance désormais exclusivement les projets open source. Un mouvement aussi soutenu au sein des Etats européens, à l’image de l’Allemagne et le lancement de son Sovereign Tech Fund lancé octobre 2022, prévoyant d’attribuer une aide financière entre 50 000 et 500 000 € à la fois pour le développement de projets open source mais aussi pour leur maintenance. Le discours européen fondé sur la combinaison des ambitions souveraines dans le domaine numérique et la promotion des communs numériques font désormais du continent un espace incontournable de promotion de l’Internet ouvert à l’échelle mondiale. Une position qui devrait s’affirmer et Alice Pannier de conclure : « Cette plus grande attention politique et cette vision plus stratégique de l’open source (…) indiquent que l’influence de l’UE et ses Etats membres sur l’écosystème open source mondial va continuer de croître, et que la vision européenne mérite d’être promue. »⁵

1^ Pannier, Alice. « Sources d’influence – enjeux économiques et géopolitiques des logiciels open source », IFRI, décembre 2022. 

2^ « 2022 open-source security and risk analysis report », Synopsys, 4 avril 2022.

3^ Pannier, Alice, op. cit.

4^ Ibid.

5^ Ibid.