Logiciels et codes open-source sont indispensables à l'écosystème informatique. Mais la mise à disposition gratuite de ces composants ne doit pas cacher le fait que des investissements en sécurité sont nécessaires.
Les solutions open source sont devenues la base de l'informatique et de la technologie. Elles permettent ainsi aux développeurs d'utiliser et de modifier du code afin de l'améliorer ou de cibler un besoin différent sans avoir besoin de partir de zéro. D'un individu seul pour un projet personnel aux plus grands groupes de la tech mondiale, tout le monde a recours à l'open source. L'exemple le plus frappant est sans doute Linux.
Sécuriser l'open source doit devenir un objectif primordial
À l'occasion de l'Open Source Software Security Summit II, qui s'est tenu à Washington DC, l'Open Source Security Foundation (OpenSSF) a tiré la sonnette d'alarme quant à la sécurité des écosystèmes open source, parfois repris par des milliers de projets et pouvant atteindre des millions d'utilisateurs finals.
L'OpenSSF propose ainsi un grand programme de chasse aux vulnérabilités au sein des logiciels open source. Pour ce faire, l'organisation estime qu'elle a besoin d'un financement à hauteur de 147,9 millions de dollars sur deux ans. Un premier tour de table a permis de réunir 30 millions de dollars. Les contributeurs sont des membres de l'OpenSSF, parmi lesquels on retrouve Amazon, Intel, VMware, Ericsson, Google et Microsoft.
« Aujourd'hui est l'une des premières fois que je vois un plan d'action avec des objectifs concrets », s'est félicité Jim Zemlin, de la Linux Foundation. Il ajoute avoir travaillé avec la communauté open source depuis deux décennies. Durant cette période, il a connu plusieurs cas où une vulnérabilité dans un composant open source a posé un « risque dramatique pour un large éventail de la société ».
Des composants open source dans tous les systèmes
L'open source est réputé fiable. En effet, comme le code est en libre accès pour tout le monde, n'importe qui peut l'analyser pour tenter de trouver des failles de sécurité et prévenir la communauté d'une vulnérabilité qu'il faut combler. Mais les pirates peuvent aussi effectuer ce travail et exploiter activement les failles qu'ils ont pu découvrir à des fins malveillantes.
Pour la Linux Foundation, une prise de conscience importante a été la vulnérabilité Heartbleed, présente dans la bibliothèque de cryptographie OpenSSL. Et depuis cette époque, les systèmes n'ont fait que se complexifier, avec, dans certains cas, des programmes composés d'une multitude de composants open source. D'où la nécessité croissante de sécuriser ces écosystèmes, alors que les attaques en ligne se font de plus en plus nombreuses.
Récemment, nous vous rapportions que des failles de sécurité touchaient de nombreux smartphones Android. Leur source était un ancien codec audio rendu open source et abandonné par Apple, mais toujours utilisé par Qualcomm et MediaTek dans la fabrication de leurs puces. Sans support depuis une dizaine d'années, ce composant open source n'était pas sécurisé, et les constructeurs ne l'ont pas réalisé, ce qui a rendu vulnérables des millions de terminaux mobiles.
Source : VentureBeat