L’Université du Minnesota s’excuse pour sa contribution de code malveillant au projet Linux

Des chercheurs de l’Université du Minnesota ont présenté leurs excuses aux responsables du Linux Kernel Project pour avoir intentionnellement inclus des vulnérabilités dans le code du projet, ce qui a conduit à une interdiction pour l’université de contribuer au projet open-source à l’avenir.

« Alors que notre objectif était d’améliorer la sécurité de Linux, nous comprenons maintenant qu’il était blessant pour la communauté d’en faire un sujet de nos recherches, et de gaspiller ses efforts en examinant ces correctifs à son insu et sans leur permission », ont déclaré le professeur adjoint Kangjie Lu, ainsi que les étudiants diplômés Qiushi Wu et Aditya Pakki dans un e-mail.

« Nous l’avons fait parce que nous savions que nous ne pouvions pas demander la permission aux responsables de Linux, ou ils seraient à l’affût des correctifs hypocrites », ont-ils ajouté.

université du minnesota

Ces excuses surviennent après une étude sur ce qu’on appelle « hypocrite commits », qui a été publié plus tôt en Février. Le projet visait à ajouter délibérément des vulnérabilités use-after-free dans le noyau de Linux au nom de la recherche sur la sécurité, apparemment dans le but de mettre en évidence comment le code potentiellement malveillant pourrait se faufiler au-delà du processus d’approbation, et par conséquent, suggérer des moyens d’améliorer la sécurité du processus de patching.

Un document de clarification précédemment partagé par les universitaires le 15 décembre 2020 indiquait que la Commission d’examen institutionnel (CISR) de l’université avait examiné l’étude et déterminé qu’il ne s’agissait pas de recherche humaine, mais ont ensuite changé leur version en ajoutant : « Tout au long de l’étude, nous ne pensions honnêtement pas qu’il s’agissait de recherche humaine, de sorte que nous n’avons pas demandé l’approbation de la CISR au début. Nous nous excusons pour les préoccupations soulevées. »

linux

Bien que les chercheurs aient affirmé ne pas avoir introduit ou ne pas avoir eu l’intention d’introduire un bogue ou une vulnérabilité dans le système d’exploitation, le fait que des preuves du contraire soient apparues — ce qui implique que la recherche a été menée sans surveillance adéquate — et a risqué la sécurité du noyau a conduit à une interdiction unilatérale des soumissions de code de toute personne utilisant une adresse électronique « umn.edu », en plus d’invalider tous les codes passés soumis par les chercheurs de l’université du Minnesota.

« Notre communauté n’apprécie pas d’être le sujet d’expérimentation, et d’être ‘testé’ en soumettant des patchs connus qui ne font rien ou introduisent des bugs, » a déclaré Greg Kroah-Hartman, l’un des développeurs du noyau Linux.

À la suite de l’incident, le Département d’informatique et d’ingénierie de l’université du Minnesota a déclaré qu’il enquêtait sur l’incident, ajoutant qu’il étudiait la « méthode de recherche et le processus par lequel cette méthode de recherche a été approuvée, pour déterminer les mesures correctives appropriées et protéger contre les problèmes futurs ».

« C’est pire qu’une simple expérimentation; c’est comme dire que vous êtes un ‘chercheur en sécurité’ en allant à une épicerie et en coupant les lignes de frein sur toutes les voitures pour voir combien de personnes s’écrasent quand ils partent. Extrêmement contraire à l’éthique », a tweeté Jered Floyd.

Entre-temps, tous les patchs soumis au code de base par les chercheurs universitaires et les professeurs devraient être retractés et réexaminés pour vérifier s’il s’agit de patchs valides.

Vous pourriez aussi aimer
Laisser un commentaire