Peur sur le web ! En décembre 2021, la faille « Log4Shell » impacte le composant de logiciel de journalisation Log4J (qui enregistre les activités d’une application), utilisé dans de nombreuses applications et sites web utilisant le langage Java.
Au moment des faits, Log4Shell a été considéré comme « l’un des risques de cybersécurité les plus graves et les plus étendus jamais vus ». Les développeurs du projet ont corrigé l’erreur de code dans les deux semaines suivant l’identification de la faille. Encore faut-il que toutes les entreprises exploitant cette solution l’aient mise à jour…
Il s’agit d’une mesure indispensable, car cette vulnérabilité permet à un attaquant de prendre le contrôle d’une application, voire d’un système d’information. Plusieurs groupes d’attaquants, aussi bien étatiques ou proches d’États, opérant en Russie, en Chine, en Iran et en Corée du Nord, ainsi que des cybercriminels en ont profité.
Intitulé Enjeux économiques et géopolitiques des logiciels open source, le rapport de 62 pages de l’IFRI, rédigé par Alice Pannier (chercheuse et responsable du programme Géopolitique des technologies), montre à quel point l’open source occupe une place majeure dans le monde du numérique. La moindre faille peut faire trembler la planète.
Logiciels propriétaires et insécurité
Entre 80 % et 96 %, des codes qui composent les logiciels aujourd’hui sur le marché – y compris les logiciels propriétaires – sont en effet d’origine open source selon le 2022 Open Source Security and Risk Analysis Report. On peut citer les langages de programmation Python et Perl, le système d’exploitation Linux, le navigateur web Mozilla Firefox, le système de gestion de bases de données MySQL, le serveur HTTP Apache…
Parallèlement, l’opinion en faveur des logiciels propriétaires s’est dégradée ces dernières années pour différentes raisons : coûts de plus en plus élevés, abonnement à des formules Software as a service (comme Microsoft 365) qui s’avèrent de moins en moins attractives avec des augmentations de tarifs, ou un support client pas toujours optimisé…
Mais, surtout, les éditeurs de logiciels sont de plus en plus critiqués pour leur mauvaise gestion de la sécurité. Citons deux exemples très concrets et aux impacts majeurs. Le logiciel Orion, développé par SolarWinds (une société américaine développant des logiciels professionnels permettant la gestion centralisée des réseaux, des systèmes et de l’infrastructure) est utilisé par des milliers d’organisations aux États-Unis, dont l’administration américaine elle-même.
Or, Orion a été l’objet d’un code malveillant, révélé en décembre 2020, qui a permis aux attaquants d’accéder pendant de nombreux mois aux données, réseaux et systèmes concernés.
Le second exemple est encore plus inquiétant, car il porte sur l’IoT et l’aviation. Les accidents impliquant l’avion Boeing 737 MAX, en 2018 et 2019, ont ainsi été causés en partie par des erreurs dans les logiciels de l’appareil, après que le développement de ceux-ci a eu été sous-traité et non supervisé. « Ce type de problématiques de cybersécurité est amené à se multiplier avec les objets connectés, notamment dans l’automobile », prévient l’auteure du rapport.
L’Open source et l’influence internationale
L’open source est aujourd’hui intrinsèquement lié au cloud et joue un rôle déterminant dans les technologies émergentes (IA, edge, IoT). Résultat, il soulève des enjeux à la fois de cybersécurité et des enjeux économiques et d’innovation.
Les entreprises privées investissent financièrement et humainement dans le développement et le maintien de l’écosystème. Ce soutien est utile pour pallier les risques liés au manque de maintenance de certains composants. Ainsi Google a lancé un programme de bug bounty et propose 30 000 dollars à tout hacker découvrant une faille dans l’un de ses logiciels utilisant des briques open source.
Mais « cette implication n’est pas sans danger pour l’écosystème open source, qui est de plus en plus modelé par les intérêts privés des Big Tech. Parallèlement, les gouvernements sont de plus en plus préoccupés par les risques de l’open source en matière de cybersécurité, non seulement du fait de vulnérabilités accidentelles, mais aussi de la manipulation des codes par des criminels et des agents étrangers », insiste Alice Pannier.
« L’analyse des cas américain, chinois et européen montre que l’implication des gouvernements dans l’open source n’est pas seulement pragmatique ; elle est de plus en plus politisée et sert à soutenir les ambitions des gouvernements en matière de sécurité nationale, d’influence internationale ou de souveraineté numérique », insiste l’auteure.
En janvier 2022 s’est tenue à la Maison-Blanche une réunion de l’Administration américaine (ministères du Commerce, de la Défense, de l’Énergie, de la Sécurité intérieure) avec de grandes entreprises de la tech américaine (dont Amazon, Apple, Google, IBM, Meta, Microsoft) et des acteurs de l’open source (GitHub, Linux Foundation, OpenSSF), pour évoquer la sécurité de l’open source et son financement…
Dans l'actualité
- Véhicules autonomes : les risques liés à la cybersécurité doivent être mieux pris en compte
- Cyberattaques : les menaces se complexifient
- Haithem Gardabou : « En matière de cybersécurité, les industriels sont en train de rattraper leur retard »
- Les cinq plus grosses cyberattaques
- Pour contrer le cyberespionnage, la start-up Snowpack propose de cacher les informations dans des « flocons »
- Les réseaux industriels sont confrontés à de multiples attaques et… contraintes
- La sécurité des infrastructures industrielles reste trop vulnérable aux attaques
- Un « Nutriscore » pour connaître le niveau de sécurité des appareils connectés
- Attaques informatiques : le hardware devient une cible
- Les voitures connectées : prochaines cibles des pirates ?
- Guerre en Ukraine : faut-il désinstaller les logiciels russes ?
- Earth for all : le Club de Rome appelle à une économie de la paix
- Ophélie Coelho : « L’Europe court après de nouvelles technologies qui ne sont pas matures »
- Jean-Noël Patillon : « Il faut s’assurer que toutes les données des entreprises françaises ne soient pas exploitées par les États-Unis. »
Dans les ressources documentaires
- Maîtrise des risques cyber - Identification, détection, analyse, traitement et transfert de risque
- RISC-V : un jeu d’instructions Open Source
- Audits de sécurité - Méthodologies, outils et retour d'expériences
- Les GAFA dans le secteur des transports
- Protection des systèmes de contrôle-commande contre les cyberattaques