Fond d'écran sombre officiel d'OpenMandriva avec le logo écrit en blanc au centre et une grande fleur rose à droite.

Vengeance et suppression de code : OpenMandriva a frôlé le désastre à cause d’un conflit interne 🥵

Et hop, une polémique de plus dans le monde de l’open source ! OpenMandriva a eu chaud.
Un ancien contributeur a abusé de ses droits d’administration pour supprimer une partie des dépôts GitHub du projet et saboter le système de compilation à la suite d’un conflit interne. Retour sur les risques critiques de la gestion des accès dans le libre.

Certes, le modèle de contribution du logiciel libre repose par principe sur la confiance mutuelle, mais cette ouverture comporte une vulnérabilité systémique majeure lorsqu’un conflit interne éclate. La distribution Linux OpenMandriva vient d’en faire la douloureuse expérience en révélant qu’un ancien contributeur de haut niveau avait abusé de ses privilèges d’administration pour effacer une partie de ses dépôts GitHub et introduire un paquet corrompu dans son système de compilation.

De l’exclusion sur Matrix au sabotage des dépôts

L’origine de l’incident, détaillé dans une déclaration publique sur son forum communautaire, découle de l’expulsion d’un utilisateur du salon de discussion Matrix officiel du canal Cooker en raison d’un comportement abusif et agressif répété envers d’autres membres. En signe de protestation, deux développeurs ont immédiatement quitté le projet, parmi lesquels Davide Beatrici, une figure bien connue de l’écosystème open source pour ses contributions au logiciel de messagerie instantanée Mumble.

Ayant conservé ses accès d’administration sur l’infrastructure Git du projet, ce dernier a orchestré une action de représailles dans les premières heures du 8 juillet 2026. Précédemment, il avait proposé de migrer l’infrastructure vers une instance privée qu’il contrôlait, une offre que l’équipe avait heureusement déclinée par souci de transparence. Sa vengeance s’est traduite par des actions ciblées :

  • la suppression de dépôts sur GitHub : il a effacé une partie des codes sources du projet, représentant des années de travail communautaire.

  • l’effacement de l’historique : certains mainteneurs clés ont vu près d’une décennie d’efforts personnels disparaître instantanément de l’infrastructure publique.

Des environnements de bureau GNOME et COSMIC délibérément ciblés

Le vandalisme ne s’est pas arrêté à la purge des codes sources. L’attaquant a également injecté un paquet vide malveillant au sein du dépôt de développement Cooker. Ce paquet factice intégrait des instructions forçant l’obsolescence de l’intégralité des composants logiciels liés aux environnements de bureau GNOME et COSMIC. Si la modification n’avait pas été interceptée à temps, la mise à jour automatique des machines clientes aurait pu corrompre et casser le système d’exploitation des utilisateurs finaux faisant tourner ces interfaces.

L’équipe technique s’est immédiatement mobilisée pour restaurer l’arborescence des fichiers effacés et neutraliser les paquets corrompus. Un audit complet du système a été mené dans la foulée, confirmant qu’aucune autre brèche de sécurité ou exfiltration de données n’était à déplorer en dehors de ces altérations ciblées.

Bien que le projet qualifie légalement ce sabotage d’acte punissable, la gouvernance d’OpenMandriva a choisi de ne pas engager de poursuites judiciaires. L’organisation privilégie une démarche de transparence et de prévention en alertant les autres communautés du logiciel libre sur les risques inhérents à l’attribution de droits d’administration étendus basés sur la seule réputation publique des contributeurs.

🦋 L’actualité de l’open source en français dans votre flux. Suivez Goodtech sur Bluesky (ou vos applications AT Protocol comme W Social et Mu) grâce à notre compte officiel. Suivez, partagez, abonnez-vous à @goodtech.info !

Retour en haut