Le développeur qui a saboté deux de ses propres bibliothèques de code open source, provoquant des perturbations pour des milliers d’applications qui les utilisaient, a un passé coloré qui inclut l’adoption d’une théorie QAnon impliquant Aaron Swartz, le célèbre hacktiviste et programmeur qui s’est suicidé en 2013 .
Marak Squires, l’auteur de deux bibliothèques JavaScript avec plus de 21 000 applications dépendantes et plus de 22 millions de téléchargements hebdomadaires, a mis à jour ses projets à la fin de la semaine dernière après qu’ils soient restés inchangés pendant plus d’un an. Les mises à jour contenaient du code pour produire une boucle infinie qui provoquait le charabia des applications dépendantes, précédé des mots « Liberty Liberty Liberty ». La mise à jour a envoyé les développeurs se bousculer alors qu’ils tentaient de réparer leurs applications défectueuses.
Que s’est-il réellement passé avec Aaron Swartz ?
Squires n’a fourni aucune raison pour cette décision, mais dans un fichier readme accompagnant la mise à jour malveillante de la semaine dernière, il a inclus les mots « Que s’est-il vraiment passé avec Aaron Swartz ? »
Swartz s’est tragiquement suicidé après avoir fait face à des accusations fédérales de piratage qui auraient pu le conduire en prison pendant 50 ans. Les accusations – pour des crimes présumés de piratage informatique et de fraude électronique – provenaient de la connexion de Swartz à un réseau du Massachusetts Institute of Technology et de la suppression de millions de documents universitaires qui se trouvaient derrière un mur payant. Après avoir été exclu du système Wi-Fi du MIT, il est entré dans un placard du réseau du MIT et a branché un ordinateur portable directement sur le réseau du campus.
En même temps qu’il incluait la référence cryptique Swartz dans le fichier readme, Squires a également tweeté ces mêmes mots et incluaient un lien vers ce fil affirmant que Swartz avait été assassiné après avoir découvert de la pornographie pédopornographique sur les serveurs du MIT. Ce message maintenant supprimé, inclus dans le fil, indiquait :
Non, ce n’est pas Aaron Swartz qui devrait être jugé, mais cette haute institution d’apprentissage salarié, le MIT, qui est responsable des crimes odieux qui ont conduit à sa mort. Les risques pris par Swartz, qui ont menacé le MIT, ne peuvent être compris qu’à travers la question de la pornographie juvénile orchestrée et produite par ses professeurs acclamés et distribuée à leurs riches et puissants sponsors. Les cyber-proxénètes du MIT s’adressent à une clientèle qui comprend le plus haut échelon du département d’État, de grandes entreprises, des agences de renseignement, des militaires et la Maison Blanche.
Chaque élément de l’affaire Swartz indique qu’il est mort dans une tentative héroïque d’exposer la perversion qui a corrompu les cœurs et les esprits de l’élite mondiale, un vice odieux et souvent meurtrier qui traumatise les enfants innocents et menace chaque famille sur cette planète.
Il existe également des preuves que Squires a peut-être été accusé il y a deux ans de mise en danger imprudente après avoir prétendument déclenché un incendie dans son appartement du Queens, à New York. Selon des articles de presse, un homme alors âgé de 37 ans, Marak Squires, a été arrêté après avoir été emmené à l’hôpital après que les autorités l’auraient observé agir de manière erratique alors qu’ils répondaient à l’incendie.
Les articles disaient que Squires était un développeur de logiciels et un des premiers investisseurs en bitcoins. Un mois après l’incendie, Squires signalé sur Twitter ayant « perdu toutes mes affaires dans l’incendie d’un appartement » et demandé une aide financière.
J’ai perdu toutes mes affaires dans l’incendie d’un appartement et je suis à peine sans abri. J’ai perdu l’accès à la plupart de mes comptes. Tout le métal précieux est manquant. Si quelqu’un pouvait bénir [email protected] avec un peu d’argent, cela m’aiderait à ne pas geler dans la rue. MDR.
— marak (@marak) 25 octobre 2020
Squires n’a pas répondu à un message demandant un commentaire sur ce post.
Jeter une clé dans la chaîne d’approvisionnement
Le sabotage de la semaine dernière soulève des inquiétudes quant à la sécurité de la chaîne d’approvisionnement logicielle qui est cruciale pour un grand nombre d’organisations, y compris les entreprises Fortune 500. Les deux bibliothèques sabotées, Faker.js et Colors.js, ont créé des problèmes pour les personnes utilisant le Cloud Development Kit d’Amazon. Les grandes entreprises, disent les critiques depuis longtemps, profitent des écosystèmes open source sans rémunérer adéquatement les développeurs pour leur temps. À leur tour, les développeurs responsables du logiciel sont injustement mis à rude épreuve.
En effet, Squires a déclaré en 2020 qu’il ne soutiendrait plus les grandes entreprises avec un travail qu’il effectue gratuitement. « Profitez de cette occasion pour m’envoyer un contrat annuel à six chiffres ou divisez le projet et demandez à quelqu’un d’autre de travailler dessus », a-t-il écrit.
La capacité d’un seul développeur à mettre un frein à une base d’applications aussi vaste met en évidence une faiblesse fondamentale de la structure actuelle des logiciels libres et open source. Ajoutez à cela les ravages causés par les vulnérabilités de sécurité négligées dans les applications open source largement utilisées – pensez au fiasco Log4j du mois dernier ou au dévastateur Heartbleed zero-day ciblant les systèmes OpenSSL en 2014 – et vous avez une recette pour un désastre potentiel.