Depuis plus de trois décennies, la commande sudo, incontournable sur presque tous les systèmes Linux et Unix, repose sur les épaules d’un seul mainteneur : Todd C. Miller, qui assure la maintenance de l’outil depuis 1993. Contrairement à ce que l’on pourrait imaginer pour un composant aussi critique, cet utilitaire est passé relativement à l’arrière-plan, tandis que l’attention médiatique se concentre sur des projets plus spectaculaires, ce qui rend la dépendance à une seule personne encore plus préoccupante.
Une dépendance structurelle à une seule personne
Todd C. Miller explique que sudo, bien qu’apparemment simple, est placé à un point stratégique du système : il contrôle l’accès au superutilisateur root, ce qui en fait un élément de sécurité centrale. En l’absence de soutien financier pérenne, il se concentre désormais sur la correction de bugs et le nettoyage du code, ce qui limite le développement de nouvelles fonctionnalités malgré quelques sponsors sur GitHub.
Le retrait de Quest et la recherche de sponsors
La situation s’est dégradée en février 2024, lorsque Quest Software, via une filiale, a arrêté de parrainer la maintenance de sudo. Faute de financement, Miller cherche désormais à préciser un sponsor pour garantir la poursuite de la maintenance et du développement de sudo, car, sans soutien, sa charge de travail devient insoutenable.
L’apparition de sudo‑rs codé en Rust
Parallèlement à cette fragilité humaine, Canonical a choisi une autre trajectoire : la mise en place de sudo‑rs, une réécriture complète de sudo en Rust, qui vise à réduire la surface d’attaque grâce aux garanties de sécurité mémoire du langage. Ubuntu 25.10, sortie en octobre 2025, est désormais adopté sudo‑rscomme implémentation par défaut, ce qui place le projet original sudo dans une position secondaire, même si la version C reste disponible.
Une collaboration, mais pas de soutien direct
Malgré cette évolution, Miller reste en contact avec les développeurs de sudo‑rset affirme leur faire confiance pour assurer la continuité des services pour les utilisateurs actuels de sudo. Il juge néanmoins primordial que l’industrie reconnaisse la nécessité de financer l’entretien de ces briques critiques, voiture, sans soutien, le risque de burn-out et de défectuosité augmente.
Le risque de transfert de maintien et de backdoor
Le spectre de l’affaire XZ Utils, où un mainteneur malveillant a inséré une porte dérobée dans une bibliothèque largement utilisée, pèse encore lourd sur la communauté, et Miller reste prudent quant au transfert de la responsabilité du projet. Ce contexte rend la recherche d’un successeur à la fois nécessaire et délicate, car la confiance dans un mainteneur unique est un enjeu de sécurité majeur.
Une question de soutien pour l’avenir
La question posée n’est plus seulement technique, mais économique et politique : qui est prêt à financer la maintenance de ces outils critiques, qui soutient réellement les mainteneurs de logiciels libres, et comment éviter que des projets aussi fondamentaux deviennent des abandonwares ? Votre réaction sur la façon dont l’industrie informatique devrait s’organiser pour soutenir ces mainteneurs est la bienvenue dans les commentaires ci-dessous. Source
