Open Source : ces failles de sécurité qui passent inaperçues au détriment de la communauté
Récemment, des spécialistes on mit en évidence un fait qui se présente comme problématique.
C’est le fait que les vulnérabilités qui affectent les applications Open Source passent inaperçues à cause des moyens peu alloués pour leur recherche et leur correction. On parle de près de 4 ans avant que ces failles de sécurité ne soient découverte.
Cet article va aussi vous intéresser : Windows XP : le code source du système d’exploitation de Microsoft disponibles en ligne
C’est le résultat du rapport intitulé « State of the Octoverse » de la plate-forme GitHub, spécialisé dans le développement et l’hébergement de logiciel Open Source.
L’avantage avec le logiciel Open Source, c’est que leurs développeurs permettent la consultation de leur code source par toutes les personnes intéressées par leur travail, contrairement à ceux qui permettent la consultation en échange du versement d’une somme d’argent.
À cause de la non rémunération de l’Open Source, la ressource humaine se fait rare. Il devient alors difficile de travailler sur la détection et la correction des failles de sécurité.
À titre d’exemple, Heartbleed est une vulnérabilité logicielle qui affecte la bibliothèque de cryptographie OpenSSL depuis mars 2012. Cette Faille de sécurité permet aux opérateurs pirates informatiques de prendre connaissance de la mémoire d’un serveur client pour récupérer des données importantes, lors d’une communication avec le protocole TLS (Transport Layer Security).
Une vulnérabilité qui touche plusieurs services Internet depuis longtemps ne fut découverte qu’en 2014, et porté à la connaissance de grand public en Avril. Ce qui veut dire que le pirate informatique a eu 2 ans pour exploiter et étudier de fond en comble la faille de sécurité. Exposant par ce fait des milliers de serveur à travers le monde. C’est grâce à un chercheur bénévole que la vulnérabilité a été découverte. Elle aurait été présente dans le référentiel de OpenSSL lors d’une proposition de correction d’autres failles de sécurité accompagnée d’amélioration de fonctionnalités. En clair, c’est une faille de sécurité qui a été introduite par erreur. Ce genre de faille de sécurité représente littéralement 83 % des vulnérabilités découvertes sur les projets Open Source présente sur la plate-forme GitHub.
Cependant, le rapport de la plateforme de Microsoft, il est précisé aussi que 17 pourcents des failles de sécurité découvertes ont été expressément introduites par des personnes de mauvaises intentions. Un rapport intitulé Risksense publiait récemment que les failles de sécurité des sources étaient croissantes. Et cela se comprend par le fait que beaucoup de projets informatiques de nos jours se fondent sur les recherches Open Source. Ce qui accroît l’intérêt des personnes souvent les d’intention malveillantes.
« Les failles de sécurité des logiciels open source passent parfois sous les radars de la détection pendant 4 ans avant d’être révélées en raison des faiblesses du modèle de financement de la sphère » précise le rapport. « Le modèle de financement de la sphère Open Source est parmi les facteurs les plus susceptibles d’expliquer que les failles de sécurité au sein des logiciels passent sous les radars pendant des périodes aussi importantes. ».
Certaines Initiatives essaient tant bien que mal de soutenir les projets de logiciels libre. Il y a notamment la Core Infrastructure Initiative (CII). Mais bien sûr, ces projets sont assez rares. La Core Infrastructure Initiative est l’un des groupes à avoir alerté et réagit face à la découverte de la vulnérabilité critique Heartbleed dans la bibliothèque OpenSSL, étant utilisé par des millions de sites internet. Le problème avec cette initiative, c’est que sa portée est assez limitée, car il faudra compter sur des apports financiers extérieurs en particulier, venant d’acteurs propriétaires de logiciels, dont Facebook, Microsoft, Oracle, VMWare, Comcast comme les principaux. Ces mêmes propriétaires de logiciels qui financent aussi la Linux Foundation et d’autres projets similaires. Une aide financière ne saurait se faire sans contrepartie à un certain niveau. Car ils possèdent alors, à cause de leur contribution, des sièges au conseil de décision, étendant ainsi leur contrôle même dans l’univers du logiciel libre. Bryan Lunduke dit à ce propos : « La conséquence immédiate est que les projets open source qui bénéficient de financement sont ceux sur lesquels leurs infrastructures s’appuient en majorité. ». Ce qui met à l’écart celles qui ne sont pas beaucoup utilisées par ces mêmes infrastructures qui financent.
Accédez maintenant à un nombre illimité de mot de passe :