Bibliothèques d’opinions. Temples silencieux du pouvoir civilisateur de la connaissance, ou rampes de lancement de la destruction mondiale ? Oui, un autre mot que la technologie a emprunté et dégradé. Les bibliothèques de code sont essentielles pour ajouter la fonctionnalité standard testée à un projet. Elles sont également un refuge naturel pour les attaques de la chaîne d’approvisionnement qui matérialisent des logiciels malveillants au cœur de l’entreprise comme des troupes de choc Klingons arrivant par faisceau de téléportation. La semaine dernière en a vu une belle. Polyfill.io, qui dessert plus de 100 000 sites avec des améliorations JavaScript pour les anciens navigateurs, s’est soudainement retrouvé accusé d’avoir empoisonné ses fonctions avec des logiciels malveillants et ainsi d’avoir attaqué tous les utilisateurs de ces sites. On n’a même pas cru qu’il s’agissait d’un piratage standard de la chaîne d’approvisionnement, où les méchants s’introduisent chez un revendeur de logiciel intermédiaire naïf et installent les pathogènes. La chaîne revendiquée était que polyfill.io avait été acheté plus tôt cette année et que les nouveaux propriétaires en étaient eux-mêmes responsables. L’appel a été lancé pour cesser immédiatement d’utiliser polyfill.io, avec le réseau de diffusion de contenu Cloudflare redirigeant les appels vers des mandataires sanitaires. La première réaction de polyfill.io a été d’accuser les médias et Cloudflare de diffamation. Peut-être aurait-il été préférable de professer l’innocence, de dire que vous prenez la situation au sérieux, et que vous travaillez étroitement avec Cloudflare pour comprendre rapidement la question. Les accusations en colère de conspiration médiatique peuvent être très 2020, mais elles vous mettent en compagnie douteuse. Quoi qu’il en soit, le concept même d’attaques de la chaîne d’approvisionnement par les propriétaires d’un fournisseur est un cas spécial qui mérite une inspection, nécessitant ses propres règles d’engagement pour être contrôlé. C’est juste que, pour l’instant, ces règles sont difficiles à discerner. Il n’y a rien de nouveau dans le fait que des entreprises achètent un produit logiciel établi et le remplissent de saletés, comme l’allégation contre Polyfill.io. À l’époque où les logiciels shareware en source fermée des référentiels centralisés étaient le terrain de jeu préféré des geeks en informatique – non, Steve Jobs n’a pas inventé le magasin d’applications – les favoris familiers pouvaient devenir mauvais du jour au lendemain. L’application d’écoute de musique MP3 WinAmp de Nullsoft a été vendue à AOL et a immédiatement commencé à installer le logiciel de bureau AOL par défaut. Un produit populaire avec un accès intime aux systèmes des utilisateurs sera toujours une cible tentante, et les logiciels intermédiaires sont catégoriquement sur la liste. Alors que les pires excès des référentiels d’applications de PC du tournant du siècle ont été largement, mais pas totalement, freinés par le magasin d’applications moderne, aucune protection éditoriale de ce type n’existe pour l’entreprise. Il n’y a rien de nouveau non plus dans le fait de disposer de fonctionnalités fournies dynamiquement par un tiers. La spécification originale du WWW de Tim Berners-Lee consistait à mélanger de manière transparente plusieurs serveurs indépendants sur une seule page. À l’époque idéaliste, le fait que cela transférait la responsabilité de savoir en qui avoir confiance de l’utilisateur au propriétaire du site ne semblait pas important. De nos jours, avec la technologie publicitaire, les traqueurs et l’exploitation de données covertes, cela importe beaucoup. Cette responsabilité inclut très certainement le JavaScript de tiers servi en direct à partir d’ailleurs, surtout si vous avez choisi de l’utiliser.
« Survivre cet été sur Internet »
Un après-midi d’août, alors qu’un suprémaciste blanc conduisait une voiture à travers une foule de manifestants pacifiques à Charlottesville, en
