Cybersécurité : les bibliothèques Open Source seraient des bombes à retardement
Récemment la société Veracode a publié un rapport qui faisait l’État de la sécurité des logiciels.
Selon cette dernière, une grande majorité des bibliothèques Open Source ne sont pas mise à jour. Ce qui est une source d’incidents informatiques non négligeables. C’est bibliothèque sur à 80 % mon mise à jour est affectée de plusieurs vulnérabilités.
Cet article va aussi vous intéresser : L’Open Source Security Foundation : mieux vaut tard que jamais
« Les développeurs doivent se soucier des mises à jour des bibliothèques open source utilisées dans leurs applications sous peine de s’exposer à des attaques. », décrit le rapport de Veracode.
Ce rapport est le onzième publié par Veracode intitulé « State of Software Security : Open Source Edition » (État de la sécurité logicielle : édition Open Source). Leur conclusion est la suivante : les librairies Open Source qui ne sont pas mises à jour ce sont des bombes à retardement.
À titre de rappel il faut préciser que Veracode est un spécialiste en matière de test des applications. Alors ces recherches ont démontré le champ de mine qui se cache derrière ces bibliothèques de logiciels libres.
« Ces bombes à retardement proviennent des bibliothèques open source et de l’absence d’actualisation du code. En général, les développeurs se servent de ces librairies pour créer leurs applications, mais sans se soucier de la qualité du code, ni de la sécurité. » note Jacques Cheminat, journaliste IT.
Pour mener à bien son étude, Veracode a utilisé des informations qui venaient 13 millions d’analyses provenant de 86 000 référentiels. Ces référentiels contenaient chacune 301 000 bibliothèques uniques. De plus près de 2 000 développeurs internationaux été interrogés pour le bien de l’enquête. On retient entre autres comme résultats de l’enquête :
– 80 % des bibliothèques tierces ne répondent pas aux normes de mise à jour de sécurité requises.
– Tous les codes présents dans ces bibliothèques présentent des failles de sécurité prégnantes
– 92 % des vulnérabilités découvertes dans l’ensemble de ces bibliothèques tierces peuvent-être résolues juste avec une mise à jour déjà disponible dans la dernière version
– Le rapport a mis aussi en évidence que la grande partie des mises à jour de sécurité disponible sont « mineures et ne perturbent pas la fonctionnalité des applications les plus complexes ».
Par ailleurs, il faut mettre en évidence le fait que ces librairies Open Source ont été classifiées selon le langage informatique utilisé ainsi que leur tendance à ne pas effectuer les mises à jour nécessaire pour combler les failles de sécurité évidente. Parmi ces librairies, celles utilisant les langages suivants se placent comme suit :
– En première position avec 67,1 %, nous avons le langage au Ruby.
– En seconde position avec 65,9 % nous avons JavaScript.
– En 3e position se place le langage Java avec 64,7 pourcents.
– Quatrième position se place le langage python avec 38,9 %.
– Le langage PHP sur place en 5e position avec 37,7 %, langage qui se place comme étant le mouton noir de la cybersécurité comme le précise le rapport fourni par Veracode.
Le rapport précise aussi que les mises à jour risquent de tarder. En effet, dans les 21 mois prochain une partie importante des bibliothèques Open Source, soit 50 pourcents pour être plus précis ne seront pas mise à jour. Au bout de 4 ans, 25 % de bibliothèque ne seront toujours pas mise à jour.
Veracode précise aussi à l’issue de son enquête que seuls 17 % des développeurs une fois informés des failles de sécurité, corrigent dans les heures qui suivent. 25 % des développeurs interrogés attendent près d’une semaine avant de corriger la faille de sécurité. Il faut attendre 3 mois pour que 50 pourcents des failles de sécurité découvertes puissent être corrigées presque un an pour 75 % des vulnérabilités.
« La grande majorité des applications d’aujourd’hui utilisent du code source ouvert. La sécurité d’une bibliothèque peut changer rapidement, il est donc crucial de garder un inventaire à jour de ce qui se trouve dans votre application » souligne le directeur de recherche chez Veracode, Chris Eng. « Nous avons constaté que les développeurs choisissent une bibliothèque, ils la mettent rarement à jour », ajoute ce dernier.
Accédez maintenant à un nombre illimité de mot de passe :