exécution du code distant

La communauté des développeurs se mobilise pour sécuriser les logiciels libres

Version imprimable, PDF et e-mail

Une série continue d'attaques d'exécution de code à distance (RCE) semble enfin fournir aux développeurs la motivation dont ils ont besoin pour remédier à certaines vulnérabilités anciennes. En temps normal, ces vulnérabilités n'auraient été corrigées qu'après avoir été exploitées par les pirates.

Le dernier exemple en date d'une attaque RCE visait une bibliothèque JavaScript populaire nommée UAParser.js, largement utilisée sur des sites internet. Téléchargée des millions de fois chaque semaine, la bibliothèque s'est vue injecter des scripts supplémentaires qui téléchargeaient et exécutaient des codes binaires à partir d'un serveur distant. Un correctif a depuis été appliqué mais ce n'est qu'une question de temps avant que des attaques RCE similaires ne soient lancées.

D'autres formes d'attaques RCE ont par exemple injecté un code malveillant dans le logiciel collaboratif Confluence de la société Atlassian ainsi que dans l'infrastructure OMI (Open Management Infrastructure) d'Azure, un agent logiciel préinstallé sur la plateforme cloud de Microsoft. Mais l'exemple le plus célèbre d'attaque RCE est celui de la chaîne logistique logicielle de SolarWinds, qui a été compromise récemment.

De gros investissements pour protéger les projets open source

La gravité du problème a donné naissance à l'Open Source Security Foundation (OpenSSF), une branche de la Fondation Linux, qui a levé 10 millions de dollars pour aider les diverses parties à adopter des bonnes pratiques et à mieux protéger les projets open source de tout code malveillant qui pourrait être injecté dans des logiciels par des acteurs mal intentionnés se faisant passer pour d'autres contributeurs au projet.

Les participations financières proviennent des membres Premier de OpenSSF, comme Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, IBM, Intel, JPMorgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk et VMware, ainsi que des membres généraux comme Anchore, Apiiro, AuriStor, Codethink, Cybertrust Japan, Deepfence, Devgistics, DTCC, GitLab, Goldman Sachs, JFrog, Nutanix, StackHawk, Tencent, TideLift et Wind River.

Cet investissement fait suite à un engagement à hauteur de 1 million de dollars de Google qui vise à aider les développeurs open source à respecter les directives établies par la branche National Institute of Standards and Technology (NIST) du Département du Commerce américain en réponse au récent décret sur la cybersécurité de l'administration Biden. Gérée comme programme pilote par la Fondation Linux, cette initiative fait partie d'un engagement plus vaste de Google à hauteur de 10 milliards de dollars en faveur de la sécurité des logiciels open source.

L'ensemble de ces initiatives fournissent aux développeurs de nombreuses ressources dont ils ont besoin : des formations et des outils gratuits pour concevoir des logiciels avec du matériel qui identifie les composants utilisés pour créer une application mais aussi des fonds qui rémunèrent les développeurs pour leur correction des vulnérabilités découvertes dans les logiciels open source considérés comme essentiels pour le secteur.

Changer les attitudes vis-à-vis de l'open source

En raison de la forte dépendance actuelle des applications (même commerciales) envers les logiciels open source, l'attention portée à leur sécurité est un changement plus que bienvenu. Trop de contributeurs aux logiciels open source considèrent que la sécurisation des logiciels gratuits qu'ils ont gracieusement mis à disposition du public est la responsabilité de l'organisation qui les utilise. Bien que cette approche « la sécurité est de votre ressort » puisse se comprendre de la part d'individus qui ne sont pas rémunérés pour la conception de ces logiciels, il y a un équilibre à trouver entre le fait de ne pas se sentir responsable de la sécurité et faire en sorte que les utilisateurs aient davantage confiance dans le code fourni.

Le défi reste que la plupart des développeurs n'ont pas beaucoup d'expérience dans la sécurité. Sinon, ces problèmes n'existeraient pas. Les professionnels de la cybersécurité devront participer à un effort collaboratif pour mieux sécuriser les logiciels. Il est donc nécessaire de trouver un moyen de faciliter la participation des professionnels de la cybersécurité à ces initiatives. En fait, pour la plupart des parties impliquées dans ces projets, le premier objectif est sans doute de lancer un appel aux professionnels de la cybersécurité qui souhaitent se joindre à eux afin de créer de meilleurs résultats pour toutes les parties concernées.

Remonter en haut de page
Tweeter
Partager
Partager