Fin février, le Cert-fr (Centre gouvernemental de veille et d’alerte aux attaques informatiques) a publié un avis sur une vulnérabilité dans les versions d’OpenSSL 1.0.2x antérieures à la 1.0.2r.
Si cette faille est dite « modérée », cet avis reste néanmoins important, car cette bibliothèque open source de chiffrement est très largement utilisée par les développeurs pour mettre en œuvre le protocole de communication sécurisée TLS et son prédécesseur SSL.
De son côté, l’équipe de recherche en cybersécurité de RIPS Technologies GmbH a publié le 19 février 2019 un bulletin dans lequel est révélée l’existence d’une nouvelle vulnérabilité WordPress. Cette attaque, peu complexe à mettre en œuvre, concerne ce système de gestion de contenu (CMS) gratuit, libre et open source qui est en écrit en PHP.
Navigateurs : alerte générale !
Ces deux failles confirment que l’open source n’est pas épargné par les vulnérabilités. Il faut néanmoins préciser que le nombre de failles est plus élevé du côté des logiciels propriétaires de Google (android), d’Adobe (Acrobat reader) et de Microsoft. Et la situation n’est pas très encourageante.
« En 2018, le nombre de vulnérabilités a dépassé celui de l’année précédente, avec une augmentation de 12 % du nombre total de vulnérabilités publiées en 2017 », constate Skybox Security, leader mondial en matière d’opérations, d’analyse et de reporting dans le domaine de la cybersécurité. La situation est surtout préoccupante avec les navigateurs dont le nombre de failles ne cesse de croître.
Manque de temps
Pour revenir à l’Open source, il est inquiétant de constater une augmentation de 88 % des vulnérabilités des bibliothèques d’applications open source au cours des deux dernières années. Dans son deuxième rapport, « The State of Open Source Security 2019 », la société de sécurité open source Snyk a répertorié 16 000 nouvelles vulnérabilités en 2018. Un record historique.
« Plus nous utilisons des logiciels libres, plus nous accumulons de risques, car nous incluons le code de quelqu’un d’autre qui pourrait potentiellement contenir des vulnérabilités maintenant ou à l’avenir », note Liran Tal, auteur du rapport Snyk.
Si tout le monde a plus ou moins conscience des risques, c’est la volonté et le manque de temps qui semble le plus inquiétant. Selon l’enquête DevSecOps de Sonatype (5 500 professionnels de l’IT interrogés), près de la moitié des développeurs de logiciels libres ont déclaré qu’ils croyaient que la sécurité devait être une priorité, mais qu’ils « n’avaient pas assez de temps à y consacrer ».
Dans l'actualité
- L’Open Source : une alternative économique aux éditeurs américains
- Turfu Festival : zoom sur un projet robotique open source et une intelligence artificielle
- Recherche désespérément spécialistes en Linux et open source
- L’Open source pour casser le prix des médicaments
- L’open source en France : un levier de croissance face aux géants américains
- L’Open data une priorité du G8
- Cybersécurité : le marché de l’emploi va encore grandir
- Cybersécurité : l’Europe la joue « collectif »
- Les technologies du gouvernement pour protéger vos données
- Le 2e Plan National Pour la Science Ouverte a été lancé