De plus en plus d’entreprises s’appuient sur la richesse de l’open source pour développer leurs propres applications. Mais l’open source est, au même titre que les logiciels propriétaires, touché par des failles de sécurité. Faute de temps, de moyens ou d’expérience, des développeurs ne corrigent pas ou ne détectent pas ces vulnérabilités.
Fin février, le Cert-fr (Centre gouvernemental de veille et d’alerte aux attaques informatiques) a publié un avis sur une vulnérabilité dans les versions d’OpenSSL 1.0.2x antérieures à la 1.0.2r.
Si cette faille est dite « modérée », cet avis reste néanmoins important, car cette bibliothèque open source de chiffrement est très largement utilisée par les développeurs pour mettre en œuvre le protocole de communication sécurisée TLS et son prédécesseur SSL.
De son côté, l’équipe de recherche en cybersécurité de RIPS Technologies GmbH a publié le 19 février 2019 un bulletin dans lequel est révélée l’existence d’une nouvelle vulnérabilité WordPress. Cette attaque, peu complexe à mettre en œuvre, concerne ce système de gestion de contenu (CMS) gratuit, libre et open source qui est en écrit en PHP.
Navigateurs : alerte générale !
Ces deux failles confirment que l’open source n’est pas épargné par les vulnérabilités. Il faut néanmoins préciser que le nombre de failles est plus élevé du côté des logiciels propriétaires de Google (android), d’Adobe (Acrobat reader) et de Microsoft. Et la situation n’est pas très encourageante.
« En 2018, le nombre de vulnérabilités a dépassé celui de l’année précédente, avec une augmentation de 12 % du nombre total de vulnérabilités publiées en 2017 », constate Skybox Security, leader mondial en matière d’opérations, d’analyse et de reporting dans le domaine de la cybersécurité. La situation est surtout préoccupante avec les navigateurs dont le nombre de failles ne cesse de croître.
Manque de temps
Pour revenir à l’Open source, il est inquiétant de constater une augmentation de 88 % des vulnérabilités des bibliothèques d’applications open source au cours des deux dernières années. Dans son deuxième rapport, « The State of Open Source Security 2019 », la société de sécurité open source Snyk a répertorié 16 000 nouvelles vulnérabilités en 2018. Un record historique.
« Plus nous utilisons des logiciels libres, plus nous accumulons de risques, car nous incluons le code de quelqu’un d’autre qui pourrait potentiellement contenir des vulnérabilités maintenant ou à l’avenir », note Liran Tal, auteur du rapport Snyk.
Si tout le monde a plus ou moins conscience des risques, c’est la volonté et le manque de temps qui semble le plus inquiétant. Selon l’enquête DevSecOps de Sonatype (5 500 professionnels de l’IT interrogés), près de la moitié des développeurs de logiciels libres ont déclaré qu’ils croyaient que la sécurité devait être une priorité, mais qu’ils « n’avaient pas assez de temps à y consacrer ».
C’est un poisson d’avril ?
Ou est-ce du à un manque de moyen des acteurs publiant sous licences libres (l’histoire d’OpenSSL’ par exemple) pour résumer : tout le monde aime bien profiter mais moins de monde soutient les développements ?
L’article, dans sa présentation rapide et avec des mots accrocheurs: « multiplient », « alerte » … semble proposer comme solution (implicitement) un système non libre par réaction.
C’est une faute de logique (de Zététique pour être plus précis) que l’auteur pousse à faire commettre au lecteur.
Une analyse un tant soit peu exhaustive des tenants-aboutissants serait plus constructive.
Elle serait un peu plus longue, mais on pourrait faire un article pour OpenSSL, un autre pour les navigateurs, un autre pour les OS et pourquoi pas quelques exemple d’applicatifs.
Ainsi chaque article serait en mesure de présenter au lecteur une analyse plus instructive et objective.
Je suis resté bien déçu des « techniques de l’ingénieur » qui habituellement est très bon, et ressemble ici à « Science&Vie » dans ses mauvais jours !
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE