Le populaire projet Docker-OSX a été supprimé de Docker Hub après qu’Apple a déposé une demande de retrait DMCA (Digital Millennium Copyright Act), alléguant qu’il violait ses droits d’auteur.
Docker-OSX est un projet open source créé par le chercheur en sécurité Sick.Codes qui permettent la virtualisation de macOS sur du matériel non Apple. Il peut être hébergé sur n’importe quel système prenant en charge Docker, y compris Linux et Windows.
Le projet est utile pour les développeurs qui ont besoin de tester des logiciels sur macOS ou pour les chercheurs en sécurité qui essaient diverses configurations pour découvrir des bogues ou rechercher des logiciels malveillants.
Sa popularité se reflète dans ses 750 000 téléchargements et ses 500 étoiles sur Docker Hub, ainsi que ses 40 000 étoiles sur GitHub.
Apple nucléarise le référentiel
Mercredi, les utilisateurs de Docker-OSX ont signalé qu’ils n’étaient pas en mesure d’extraire les dernières images macOS du référentiel Docker Hub, obtenant des erreurs 404.
« docker: Réponse d’erreur du démon: accès pull refusé pour sickcodes / docker-osx, le référentiel n’existe pas ou peut nécessiter une » connexion docker »: refusé: l’accès demandé à la ressource est refusé », lit un message d’erreur lorsqu’un utilisateur a essayé d’installer l’image.
Après que d’autres utilisateurs ont signalé un problème similaire d’accès à l’image Docker, le développeur est tombé malade.Codes, a répondu qu’il avait disparu de leur compte et n’a reçu aucune information quant à la raison.
Après avoir posté sur la suppression sur X, Docker l’a confirmé avec Sick.Indique que l’image a été supprimée après avoir reçu une demande de retrait DMCA d’Apple.
Dans la demande DMCA envoyée à Sick.Codes et partagés avec Breachtrace, un cabinet d’avocats représentant Apple a affirmé que le référentiel » docker-osx » contient des images de l’installateur macOS d’Apple, qui sont protégées par le droit d’auteur.
L’avis précise que Docker-OSX reproduit le contenu d’Apple sans autorisation, ce qui constitue une violation du droit d’auteur en vertu de la loi américaine, et demande à Docker d’agir « rapidement » pour supprimer le référentiel.
« Il a été porté à notre attention que des images du programme d’installation et de l’installation de macOS d’Apple ont été publiées sur https://hub.docker.com/r/sickcodes/docker-osx, » lit la notification d’infraction DMCA envoyée par les avocats d’Apple chez Kilpatrick, Townsend et Stockton LLP.
« Apple a des droits exclusifs sur son programme d’installation et d’installation de macOS. Voir macOS Sonoma. Docker-OSX reproduit ce contenu sans autorisation. La reproduction non autorisée du contenu d’Apple constitue une violation du droit d’auteur et constitue une violation du DMCA. »
Franchir les frontières juridiques
D’un point de vue juridique, les actions d’Apple sont justifiées dans ce cas, car son CLUF pour macOS restreint l’utilisation du système d’exploitation au matériel de marque Apple, et l’application de ces conditions de licence relève de ses droits.
Malade.Codes a dit à Breachtrace que l’action d’Apple aurait principalement un impact sur les chercheurs en sécurité utilisant Docker-OSX pour aider à rendre macOS plus sûr.
« Chaque fois que je suis à une conférence sur la sécurité, comme DEFCON ou http://Hardwear.io, d’autres chercheurs viennent et disent qu’ils ont utilisé Docker-OSX pour faire des primes de bogues. C’est essentiellement l’une des seules façons de participer au programme de primes aux bogues d’Apple sans un vrai Mac », a expliqué Sick.Codes.
Malade.Codes a ajouté qu’Apple se contredit en encourageant les contributions à la recherche sur la sécurité et les rapports de bogues, mais cible les projets qui aident les chercheurs à effectuer cette activité. Cela dit, le chercheur affirme que son dévouement à aider à la recherche sur la sécurité Apple reste inébranlable.
« Il s’agit d’un projet de recherche sur la sécurité légitime et de bonne foi que j’ai utilisé, ainsi que plus de 700 000 autres, pour essayer de trouver des bogues dans macOS.
Ils [Apple] autorisent explicitement les chercheurs à tester leurs produits dans le cadre du programme Apple Bug Bounty, auquel je participe et j’ai déjà soumis des bogues à Apple auparavant.
Et continuera de le faire. »
❖ Malade.Codes
Pendant ce temps, Docker-OSX reste disponible sur GitHub au moment de la rédaction, mais le référentiel ne contient que le code du projet, pas les binaires de l’installateur, donc malade.Codes ne s’attend pas à une demande DMCA là-bas.
En fin de compte, l’affaire met en évidence les défis juridiques qui peuvent survenir pour les projets open source lorsqu’il s’agit de logiciels propriétaires soumis à l’application des droits de propriété intellectuelle à tout moment.
Breachtrace a demandé un commentaire à la fois à Apple et à Docker, mais nous n’avons pas reçu de réponse par publication.