En ce moment

L’open source : des failles qui se multiplient

Posté le 1 avril 2019
par Philippe RICHARD
dans Informatique et Numérique

De plus en plus d’entreprises s’appuient sur la richesse de l’open source pour développer leurs propres applications. Mais l’open source est, au même titre que les logiciels propriétaires, touché par des failles de sécurité. Faute de temps, de moyens ou d’expérience, des développeurs ne corrigent pas ou ne détectent pas ces vulnérabilités.

Fin février, le Cert-fr (Centre gouvernemental de veille et d’alerte aux attaques informatiques) a publié un avis sur une vulnérabilité dans les versions d’OpenSSL 1.0.2x antérieures à la 1.0.2r.

Si cette faille est dite « modérée », cet avis reste néanmoins important, car cette bibliothèque open source de chiffrement est très largement utilisée par les développeurs pour mettre en œuvre le protocole de communication sécurisée TLS et son prédécesseur SSL.

De son côté, l’équipe de recherche en cybersécurité de RIPS Technologies GmbH a publié le 19 février 2019 un bulletin dans lequel est révélée l’existence d’une nouvelle vulnérabilité WordPress. Cette attaque, peu complexe à mettre en œuvre, concerne ce système de gestion de contenu (CMS) gratuit, libre et open source qui est en écrit en PHP.

 Navigateurs : alerte générale !

Ces deux failles confirment que l’open source n’est pas épargné par les vulnérabilités. Il faut néanmoins préciser que le nombre de failles est plus élevé du côté des logiciels propriétaires de Google (android), d’Adobe (Acrobat reader) et de Microsoft. Et la situation n’est pas très encourageante.

« En 2018, le nombre de vulnérabilités a dépassé celui de l’année précédente, avec une augmentation de 12 % du nombre total de vulnérabilités publiées en 2017 », constate Skybox Security, leader mondial en matière d’opérations, d’analyse et de reporting dans le domaine de la cybersécurité. La situation est surtout préoccupante avec les navigateurs dont le nombre de failles ne cesse de croître.

Manque de temps

Pour revenir à l’Open source, il est inquiétant de constater une augmentation de 88 % des vulnérabilités des bibliothèques d’applications open source au cours des deux dernières années. Dans son deuxième rapport, « The State of Open Source Security 2019 », la société de sécurité open source Snyk a répertorié 16 000 nouvelles vulnérabilités en 2018. Un record historique.

« Plus nous utilisons des logiciels libres, plus nous accumulons de risques, car nous incluons le code de quelqu’un d’autre qui pourrait potentiellement contenir des vulnérabilités maintenant ou à l’avenir », note Liran Tal, auteur du rapport Snyk.

Si tout le monde a plus ou moins conscience des risques, c’est la volonté et le manque de temps qui semble le plus inquiétant. Selon l’enquête DevSecOps de Sonatype (5 500 professionnels de l’IT interrogés), près de la moitié des développeurs de logiciels libres ont déclaré qu’ils croyaient que la sécurité devait être une priorité, mais qu’ils « n’avaient pas assez de temps à y consacrer ».


Pour aller plus loin