meilleure sécurité msp

Les attaques contre la chaîne d’approvisionnement des logiciels vont augmenter

Version imprimable, PDF et e-mail

Le problème quand tous les regards se tournent vers un type de cyberattaque, c'est que cela encourage davantage de cybercriminels à s'y intéresser aussi. Au cours des derniers mois, l'intégrité des chaînes d'approvisionnement de logiciels est devenue un sujet de préoccupation majeur, suite à une série de failles de sécurité très médiatisées. Le secteur espère que l'adoption de bonnes pratiques de DevSecOps permettra de réduire le nombre de vulnérabilités présentes dans des logiciels déployés en production.

La Maison Blanche vient d'ailleurs de publier une note de service qui oblige les agences fédérales à respecter les directives de la chaîne d’approvisionnement de logiciels du Bureau de la gestion et du budget (OMB) américain. Ces directives s'appuient sur un décret de l'administration Biden demandant aux agences d'examiner la sécurité de leurs chaînes d'approvisionnement de logiciels.

La principale méthode d'intégration de logiciels malveillants dans les logiciels en cours de développement consiste à compromettre les identifiants d'un membre de l'équipe de développement d'applications. Microsoft, par exemple, a émis un avertissement qui détaille comment un gang cybercriminel connu sous le nom de ZINC utilise LinkedIn pour établir un premier contact avec les développeurs de logiciels à la recherche d'un emploi. Le groupe encourage ensuite ces développeurs à changer de moyen de communication pour passer sur WhatsApp, canal via lequel des charges utiles malveillantes sont installées sur le système du développeur.

L'avertissement de Microsoft remarque également que le groupe ZINC cible spécifiquement les logiciels open source tels que PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et muPDF/Subliminal Recording pour ces attaques. Si les développeurs incluent ces composants dans les applications qu'ils créent, il y a de fortes chances que les logiciels malveillants intégrés dans ces packages logiciels par ZINC soient activés plus tard. ZINC a été identifié comme un sous-groupe de l'équipe de pirates Lazarus de Corée du Nord, et le danger posé par cette attaque ne doit pas être sous-estimé.

Évidemment, personne ne sait avec certitude où ces logiciels malveillants peuvent se retrouver, et c'est là que réside le défi auquel les professionnels de la sécurité seront de plus en plus confrontés. Le renforcement des processus utilisés dans la création de logiciels est très lent. Il faut du temps pour changer la culture des développeurs d'applications qui ont tendance à faire passer la vitesse de livraison devant la sécurité. Conscients de cela, les cybercriminels sont de plus en plus nombreux à s'attaquer aux chaînes d'approvisionnement de logiciels, tout simplement parce qu'ils savent désormais à quel point elles sont vulnérables.

La bonne nouvelle, c'est que les dirigeants qui recrutent des développeurs commencent à faire passer la sécurité avant la rapidité. Une enquête réalisée auprès de 600 cadres dirigeants et menée par CloudBees, fournisseur d'une plateforme pour la création et le déploiement d'applications, révèle que plus des trois quarts des personnes interrogées déclarent qu'il est plus important d'être en sécurité et conforme que rapide et conforme. Toutefois, 88 % de ces cadres pensent que la chaîne d'approvisionnement de logiciels de leur entreprise est sécurisée ou très sécurisée.

Malheureusement, il est probable que la sécurité logicielle se détériore avant de commencer à s'améliorer. Par conséquent, les équipes de cybersécurité doivent se préparer au pire. Comme la vulnérabilité Log4j Shell l'a déjà clairement démontré, rechercher toutes les instances d'un composant logiciel présentant une vulnérabilité peut prendre des mois. Une équipe rapide de réponse aux incidents de sécurité n'a jamais été aussi essentielle car, comme toujours, chaque fois qu'une vulnérabilité est découverte, c'est la course contre la montre avant qu'elle ne soit exploitée.

Remonter en haut de page
Tweeter
Partager
Partager