Lorsque vous achetez un produit informatique, l'entreprise qui vous le vend n'a pas elle-même écrit l'intégralité du code qui fait fonctionner son cœur logiciel. Toutes les firmes de nouvelles technologies, peu importe leur taille, dépendent de morceaux de code en open source, accessibles librement et gratuitement sur internet.
Ces bouts de code, disponibles sur des sites comme GitHub, sont souvent créés et mis à jour bénévolement par les développeurs ou développeuses qui les ont créés. N'importe qui peut le recopier et proposer des améliorations.
Ce système présente néanmoins un problème, explique le média spécialisé OneZero: l'entretien de ces codes dépend du bon vouloir des personnes qui les créent, qui ne sont obligées en rien à se préoccuper des mises à jour.
Or, certains projets open source deviennent au fil du temps extrêmement populaires. C'est le cas de cURL, un programme créé par le Suédois Daniel Stenberg en 1997 et qui permet de transférer des données entre deux systèmes informatiques.
Selon Stenberg, cURL est utilisé par plus d'un milliard de smartphones, dont la totalité des iPhones, «plusieurs centaines de millions de smart TV et au moins 100 millions de voitures connectées».
Maintenance gratuite
Pourtant, malgré cette incroyable popularité, Stenberg a longtemps travaillé quasiment seul, aidé par une poignée de bénévoles, afin de bichonner ce code dont dépendent des milliards d'appareils.
Sur les 25.000 mises à jour de cURL effectuées depuis 1997, Stenberg en a réalisé 14.800 sur son temps libre, en exerçant un autre travail à coté.
Stenberg explique à OneZero que cette maintenance à titre gratuit est parfois frustrante, notamment lorsqu'elle sert les intérêts d'entreprises multimilliardaires, dont certaines pourraient financer ces travailleurs et travailleuses dont leurs profits dépendent.
Cela peut sembler contraire à l'esprit de l'open source, mais la réalité est que si un code sur lequel reposent beaucoup de systèmes est négligé, la catastrophe est vite arrivée. C'est exactement ce qu'il s'est passé lors de l'incident Heartbleed en 2014.
Un bug dans le programme open source appelé OpenSSL, découvert par Google, rendait vulnérable depuis deux ans des millions de sites internet. L'update comportant l'erreur informatique avait été proposée par un bénévole et acceptée par l'unique développeur à temps plein du programme.
