Le développeur qui a saboté deux de ses propres bibliothèques de code open source, provoquant des perturbations pour des milliers d’applications qui les utilisaient, a un passé coloré qui comprend l’adoption d’une théorie QAnon impliquant Aaron Swartz, le hacktiviste et programmeur bien connu qui s’est suicidé en 2013 .
Marak Squires, l’auteur de deux bibliothèques JavaScript avec plus de 21 000 applications dépendantes et plus de 22 millions de téléchargements hebdomadaires, a mis à jour ses projets à la fin de la semaine dernière après qu’ils soient restés inchangés pendant plus d’un an. Les mises à jour contenaient du code pour produire une boucle infinie qui provoquait le charabia des applications dépendantes, précédé des mots «Liberty Liberty Liberty». La mise à jour a envoyé les développeurs se démener alors qu’ils tentaient de réparer leurs applications défectueuses.
Que s’est-il réellement passé avec Aaron Swartz ?
Squires n’a fourni aucune raison pour le déménagement, mais dans un fichier readme accompagnant la mise à jour malveillante de la semaine dernière, il a inclus les mots « Que s’est-il vraiment passé avec Aaron Swartz ?
Swartz s’est tragiquement suicidé après avoir fait face à des accusations de piratage fédérales qui auraient pu le conduire en prison pendant 50 ans. Les accusations – pour des crimes présumés de piratage informatique et de fraude électronique – découlaient du fait que Swartz s’était connecté à un réseau du Massachusetts Institute of Technology et avait supprimé des millions de documents universitaires qui se trouvaient derrière un mur de paiement. Après avoir été exclu du système Wi-Fi du MIT, il est entré dans un placard réseau du MIT et a branché un ordinateur portable directement sur le réseau du campus.
En même temps qu’il incluait la référence cryptique de Swartz dans le fichier readme, Squires a également tweeté ces mêmes mots et inclus un lien vers ce fil affirmant que Swartz avait été assassiné après avoir découvert de la pornographie pédopornographique sur les serveurs du MIT. Ce message maintenant supprimé, inclus dans le fil, indiquait :
Non, ce n’est pas Aaron Swartz qui devrait être jugé, mais cette haute institution d’apprentissage salarié, le MIT, qui est responsable des crimes odieux qui ont conduit à sa mort. Les risques pris par Swartz, qui ont menacé le MIT, ne peuvent être compris qu’à travers la question de la pédopornographie orchestrée et produite par ses professeurs acclamés et distribuée à leurs riches et puissants sponsors. Les cyber-proxénètes du MIT s’adressent à une clientèle qui comprend les plus hauts échelons du Département d’État, les grandes entreprises, les agences de renseignement, les hauts gradés militaires et la Maison Blanche.
Chaque élément de l’affaire Swartz indique qu’il est mort dans une tentative héroïque d’exposer la perversion qui a corrompu les cœurs et les esprits de l’élite mondiale, un vice odieux et souvent meurtrier qui traumatise des enfants innocents et menace toutes les familles de cette planète.
Il existe également des preuves que Squires a peut-être été accusé il y a deux ans de mise en danger imprudente après avoir prétendument allumé un incendie dans son appartement du Queens, à New York. Selon des articles de presse, un homme alors âgé de 37 ans nommé Marak Squires a été arrêté après avoir été transporté à l’hôpital après que les autorités l’auraient observé agir de manière erratique alors qu’ils répondaient à l’incendie.
Publicité
Les articles indiquaient que Squires était un développeur de logiciels et un premier investisseur en bitcoins. Un mois après l’incendie, Squires a rapporté sur Twitter avoir “perdu toutes mes affaires dans un incendie d’appartement” et a demandé un soutien financier.
J’ai perdu toutes mes affaires dans un incendie d’appartement et je reste à peine sans abri. J’ai perdu l’accès à la plupart de mes comptes. Tous les métaux précieux manquent. Si quelqu’un pouvait bénir paypal@marak.com avec un peu d’argent, cela m’aiderait à ne pas geler dans la rue. MDR.
– floraison (@marak) 25 octobre 2020
Squires n’a pas répondu à un message demandant un commentaire sur ce message.
Jeter une clé dans la chaîne d’approvisionnement
Le sabotage de la semaine dernière soulève des inquiétudes quant à la sécurité de la chaîne d’approvisionnement en logiciels qui est cruciale pour un grand nombre d’organisations, y compris les entreprises du Fortune 500. Les deux bibliothèques sabotées – Faker.js et Colors.js – ont créé des problèmes pour les personnes utilisant le kit de développement cloud d’Amazon. Les grandes entreprises, disent les critiques depuis longtemps, bénéficient des écosystèmes open source sans rémunérer adéquatement les développeurs pour leur temps. À leur tour, les développeurs responsables du logiciel sont injustement mis à rude épreuve.
En effet, Squires en 2020 a déclaré qu’il ne soutiendrait plus les grandes entreprises avec le travail qu’il fait gratuitement. « Profitez-en pour m’envoyer un contrat annuel à six chiffres ou forger le projet et demandez à quelqu’un d’autre de travailler dessus », a-t-il écrit.
La capacité d’un seul développeur à jeter une clé dans une si grande base d’applications souligne une faiblesse fondamentale de la structure actuelle des logiciels libres et open source. Ajoutez à cela les ravages causés par les vulnérabilités de sécurité négligées dans les applications open source largement utilisées – pensez au fiasco Log4j du mois dernier ou aux dévastateurs Heartbleed zero-days ciblant les systèmes OpenSSL en 2014 – et vous avez la recette d’un désastre potentiel.
