L'accent est mis sur les logiciels de sécurité à code source ouvert

Lorsque l'équipe dirigeante d'une entreprise met l'accent sur la cybersécurité, c'est évidemment une bonne chose. Mais les dirigeants se concentrent trop souvent sur la forme et pas assez sur le fond. Ainsi, la dernière réunion sur l'état de la sécurité des logiciels open source, à l'initiative de la Maison Blanche, a un goût de déjà-vu pour les professionnels de la sécurité et de l'informatique.

La Maison Blanche a publié un communiqué qui note, entre autres, que les participants ont eu « un débat de fond et constructif » sur la manière d'améliorer la sécurité des logiciels open source, tout en soutenant la communauté open source et en interagissant avec elle.

Les personnes suivantes étaient présentes lors de cette réunion : Anne Neuberger, conseillère adjointe à la sécurité en technologies émergentes, Chris Inglis, directeur national de la cybersécurité, ainsi que des représentants du Bureau du directeur national de la cybersécurité, du Bureau de la police scientifique et technologique, du Département de la Défense, du Département du Commerce, du Département de l'Énergie, du Département de la Sécurité intérieure, de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), de l'Institut national des normes et de la technologie et enfin, de la Fondation nationale pour les sciences. Des représentants de sociétés privées comme Akamai, Amazon, Apache Software Foundation, Apple, Cloudflare, Facebook/Meta, GitHub, Google, IBM, the Linux Foundation, the Open Source Security Foundation, Microsoft, Oracle, RedHat et VMWare étaient également présents.

D'après la Maison Blanche, cette réunion avait pour objet principal de voir comment éviter les failles et les vulnérabilités de sécurité dans le code et les packages open source, comment améliorer le processus permettant de mettre au jour les failles et de les corriger, et enfin de réduire les délais de distribution et de mise en œuvre des correctifs.

Dans le cadre du premier point, la Maison Blanche a révélé que les participants avaient émis des idées pour simplifier l'écriture de code sécurisé par les développeurs, notamment en intégrant des fonctionnalités de sécurité dans les outils de développement et en sécurisant les infrastructures utilisées pour concevoir, stocker et distribuer le code, comme la signature de code et l'utilisation d'identités numériques plus fortes.

Lors du second point, les participants ont abordé la question de la priorité pour les projets open source les plus importants et la façon de mettre en place des mécanismes durables pour les entretenir.

Lors du dernier point, les participants ont abordé les moyens d'accélérer et d'améliorer l'utilisation d'une « nomenclature produit » pour les logiciels (« Bill of Materials » en anglais) comme l'exige le décret émis par le président américain, afin que l'on puisse prendre connaissance de ce que contiennent les logiciels que nous achetons et utilisons.

Pour résumer, le gouvernement fédéral encourage les agences et toute entreprise avec qui celles-ci ont des liens à créer des logiciels qui adoptent les bonnes pratiques DevSecOps, le but étant de permettre aux développeurs de créer des applications plus sûres. Cette idée n'a rien de nouveau. C'est déjà le cas pour de nombreux développeurs et professionnels de la cybersécurité. Le communiqué de la Maison Blanche ne répond pas aux vrais enjeux de DevSecOps rencontrés sur le terrain.

Aujourd'hui, les développeurs réutilisent régulièrement des logiciels open source, comme l'outil de journalisation Log4j dans lequel on a récemment découvert un certain nombre de vulnérabilités zero-day. De nombreux projets de ce genre sont gérés par des équipes restreintes de programmeurs qui donnent de leur temps et de leurs compétences pour concevoir des outils, accessibles ensuite gratuitement par la communauté. Comme de nombreux autres développeurs, le niveau d'expertise en sécurité de ces programmeurs est parfois limité. Pourtant, et c'est un fait connu de tous, beaucoup de fournisseurs informatique et de très grandes sociétés de solutions informatiques réutilisent ce code sans forcément rendre la pareille et contribuer au projet open source (soit en aidant à le financer, soit en aidant les programmeurs open source à détecter et à corriger les vulnérabilités). En réaction à ce problème largement ignoré, une communauté open source est même allée jusqu'à saboter volontairement son code. Nul ne sait à l'heure actuelle si d'autres groupes open source vont suivre le mouvement, mais la cybersécurité est un sujet épineux au sein de la communauté open source. L'essentiel du problème vient du fait que les contributeurs de ces projets open source consacrent du temps et donnent de leur expertise gratuitement pour pouvoir concevoir ces composants. C'est aux organisations qui décident de déployer ces logiciels qu'il incombe de garantir leur sécurité.

La Maison Blanche essaie véritablement de mettre la pression sur les fournisseurs informatique et les grandes entreprises pour qu'ils contribuent davantage à la sécurisation des logiciels open source. Le gouvernement américain semble également prêt à augmenter les financements permettant d'atteindre cet objectif.

En attendant, lorsqu'elles examinent les chaînes logistiques logicielles, les équipes de cybersécurité devront déterminer si les logiciels open source utilisés seront utilisables à long-terme du point de vue de la sécurité. Moins il y a de contributeurs sur un projet open source, plus il y a de chances pour qu'apparaissent des problèmes de sécurité.

Ces différentes décisions sonnent peut-être le début de grands changements dans la sécurité des logiciels open source. Espérons que les différentes parties tiennent leurs engagements.