Contraction de ‘protest’ et ‘software’, les protestwares développés en signe de protestation contre l’invasion de l’Ukraine par l’armée de Vladimir Poutine se multiplient dans le milieu Open Source.
Parfois, il s’agit tout simplement d’un message d’alerte ou d’une bannière de soutien. Ainsi, notre confrère de ZDnet explique que le projet es5-ext, disponible sur la plateforme Open Source GitHub, peut repérer si son installation a lieu sur un appareil situé en Russie ou en Biélorussie. Le module affiche alors des informations sur le conflit en Ukraine, tel que le nombre de victimes.
Parfois, cela va plus loin : la société de sécurité Open Source Snyk rapporte qu’un développeur se faisant appeler ‘RIAEvangelist’ a créé un paquet npm géociblé intitulé ‘peacenotwar‘, en signe de protestation non violente. Son mainteneur l’a ajouté dans un projet bien plus communément utilisé : node-ipc. Or, le module peut potentiellement supprimer le contenu du disque de l’utilisateur final et le remplacer par un simple emoji cœur.
Selon Snyk, ce code malveillant n’est pas resté plus de 24 heures en ligne, le 8 mars dernier, sur les versions 10.1.1 et 10.1.2 de node-ipc. Il est cependant possible que ces versions aient été téléchargées un bon nombre de fois, étant donné que node-ipc est téléchargé environ un million de fois par semaine en moyenne.
Ce type d’initiatives ne fait pas l’unanimité au sein de la communauté Open Source. RIAEvangelist affirme avoir, en retour, été victime de canulars à son domicile et de piratage sur les réseaux sociaux.
En tout cas, cela semble faire son effet en Russie. La plus grande banque russe, Sber, a conseillé à ses client.e.s d’arrêter momentanément l’installation de toute mise à jour applicative par crainte d’un code malveillant dans un protestware.