Le gouvernement américain demande des conseils en matière de sécurité des logiciels open source

L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), le Bureau du directeur national de la cybersécurité (ONCD), la Fondation nationale pour les sciences (NSF), l’Agence pour les projets de recherche avancée de la défense (DARPA) et le Bureau de la gestion et du budget (OMB) cherchent des informations supplémentaires sur la manière dont le gouvernement américain devrait prioriser ses efforts pour sécuriser les logiciels open source.

Les agences ont publié conjointement une demande d’informations (RFI), qui arrivera à échéance le 9 octobre, dans le cadre d’un effort continu visant à améliorer la sécurité des logiciels open source qui, d’une manière ou d’une autre, se retrouvent dans presque toutes les applications.

En théorie, du moins, le gouvernement américain doit mettre à la disposition des personnes qui maintiennent les logiciels open source des ressources de codage et des ressources financières dans le cadre d’un effort visant à défendre les agences fédérales qui, à l’instar de toutes les autres entreprises, sont devenues fortement dépendantes des logiciels open source. Le problème, c’est que tant que les logiciels seront écrits par des humains, il y aura toujours un problème potentiel de cybersécurité. Les gens font des erreurs. Dans le même temps, les vulnérabilités du code qui sont inconnues aujourd’hui seront certainement découvertes demain. Peu de personnes assurant le maintien de projets logiciels open source ont les ressources nécessaires pour créer un correctif qui peut ensuite être instantanément partagé avec toutes les entités utilisant ce logiciel.

En fait, bien souvent, ils peuvent même ne pas envisager de prouver que tel ou tel correctif est urgent. À moins que quelqu’un ne les paie pour travailler sur ce projet, ils le font souvent par passion. Ils n’ont pas demandé à une agence fédérale ou à une entreprise informatique de l’utiliser. Ce n’est donc pas nécessairement à eux de tout lâcher pour créer un correctif afin de traiter une vulnérabilité zero-day.

On peut soutenir que les organisations qui bénéficient de l’utilisation de ce logiciel devraient être prêtes à mobiliser des ressources pour résoudre ce problème. Ces ressources peuvent être fournies soit par les organisations elles-mêmes, soit par le fournisseur qui a donné accès à une instance sélectionnée d’un progiciel open source dont il assure le support commercial.

Bien sûr, tout cela ne veut rien dire si personne ne sait où s’exécute le logiciel vulnérable. À la suite de la vulnérabilité zero-day de Log4j, de nombreuses équipes de cybersécurité et développeurs d’applications ont passé des mois à travailler ensemble et à rechercher les instances que les cybercriminels savaient à présent exploiter.

Idéalement, il devrait y avoir, au nom de la sécurité nationale, une sorte d’équipe d’intervention pour orchestrer la mise en place d’un correctif chaque fois que c’est nécessaire et, ce qui est tout aussi important, fournir l’expertise nécessaire pour découvrir les instances des logiciels affectés. L’Open Source Security Foundation (OpenSSF) s’efforce de fournir ces types de capacités, mais l’effort qui serait nécessaire si une autre vulnérabilité zero-day majeure était découverte dépasse ses ressources disponibles.

Les agences gouvernementales n’étant pas réputées pour leur agilité, il faudra peut-être attendre quelques mois avant que les conseils sollicités ne se transforment en un véritable plan d’action, mais les professionnels de la cybersécurité doivent profiter de cette occasion unique d’intervenir sur cette question qui les concerne au premier chef. Après tout, quelle que soit la cause profonde d’une violation, la responsabilité incombe toujours à l’équipe de cybersécurité chargée de nettoyer le désordre qui s’ensuit.