Open Source : se méfier des logiciels libres
L’Open Source est un aspect de l’informatique qui garde toujours son attrait.
En effet, l’utilisation des logiciels libres et des bibliothèques open source n’a jamais été autant populaire ces derniers temps. Les avantages sont multiples. Entre la facilité d’adaptation la gratuité ainsi que l’efficacité des traitements, il n’est pas un seul spécialiste de l’informatique qui utilise ou qu’ils ne souhaitent utiliser de l’Open Source. Car de manière logique, personne ne voudra passer son temps et son énergie à concevoir quelque chose qu’il peut avoir gratuitement et qui existe déjà.
Cet article va aussi vous intéresser : Cybersécurité : les bibliothèques Open Source seraient des bombes à retardement
C’est d’ailleurs le cas dans la majorité des applications. Elles contiennent tous de l’Open Source. Et qu’on le veuille ou non, c’est une tendance qui va non seulement continuer à grossir mais qui prend de plus en plus d’ampleur. Toutefois, nous sommes dans un contexte ou de risque certains. De façon pratique, tous les utilisateurs des services open-source sont conscients des dangers qui ne sont jamais très loin. Cependant, il faudra faire appel à une prise de conscience beaucoup plus large.
« Si les bibliothèques open source permettent aux développeurs de travailler plus rapidement et plus intelligemment, il est important de se rappeler qu’elles ne sont pas statiques. La popularité et l’utilisation des bibliothèques changent et évoluent, ce qui rend difficile pour les développeurs de suivre les dernières mises à jour de sécurité de ces bibliothèques. Aujourd’hui, plus que jamais, les entreprises sont exposées à un risque accru de fuites de données et de cyberattaques dommageables en raison de la prolifération des logiciels open source. », explique dans un billet de blog Nabil Bousselham, architecte de solutions informatique chez Veracode.
Essayant de faire une approche objective de ce qui peut être la cause de ces risques dans mon parlons plus haut.
Dans un premier temps, il y a cette manie de « tout mettre en place puis tout oublier ». En effet, les développeurs de solutions open source n’ont pas véritablement recette tendance à faire de la mise à jour de leurs outils. Par conséquent on retrouve plusieurs voir la majorité des bibliothèques qui présentent notamment ce problème de correctif.
Cependant on parle généralement de 95 % des entreprises du domaine de l’IT qui s’appuie sur cette bibliothèque open source pour le développement de leurs infrastructures. Le souci c’est que dans 79 % des cas, ces bibliothèques qui ont été intégrées dans des codes sources ne sont pas mise à jour.
Alors, nous nous interrogeons légitimement de savoir, quel peuvent être les obstacles qui rendent difficile ces mises à jour au qui l’empêchent.
« Le manque d’informations contextuelles peut constituer un obstacle. Il peut s’agir d’une raison aussi simple que de ne pas comprendre la gravité ou l’impact d’une vulnérabilité. Par exemple, si un développeur ne comprend pas pourquoi une faille d’injection SQL est dangereuse, il peut la considérer comme sans importance. Parfois, visualiser le chemin de code – reliant le code de première partie à la vulnérabilité d’une partie tierce – peut aider les développeurs à comprendre comment et pourquoi leur application est vulnérable et aussi prioriser les efforts de remédiation. », nous explique Nabil Bousselham. « On estime que les développeurs qui déclarent avoir besoin de davantage d’informations contextuelles mettent plus de sept mois pour corriger 50 % des failles. En revanche, pour ceux qui estiment disposer d’informations contextuelles précises, par exemple la manière dont une vulnérabilité influe sur la sécurité de leur application, le temps de remédiation se réduit à trois semaines. », ajoute ce dernier.
Cependant tout n’est pas si négatif. En effet, lorsque les développeurs de bibliothèque Open Source sont avertis de la présence de vulnérabilités, ils ont la possibilité de pouvoir agir rapidement pour les combler. En effet, 17 % des bibliothèques open source Vulnérables ont été corrigées seulement quelques heures après la découverte des failles par le développeur. 25 % d’entre elles sont corrigés 7 jours après l’information du développeur. De plus, la majorité des vulnérabilités découvertes dans les bibliothèques de logiciels libres sont généralement des failles mineures pouvant être corrigées facilement. En effet 92 % des vulnérabilités que sont corrigées grâce à de simples au mise à jour. 69 % des failles de sécurité ne nécessite qu’un changement mineur de version.
Soutenir les développeurs, une condition à la réussite de leur mission.
Les bibliothèques open source resteront un outil important et utile pour les développeurs, mais on ne peut plus ignorer les risques de sécurité qui sont pris avec ce code. Les équipes chargées de la sécurité doivent collaborer plus étroitement avec les équipes de développement pour changer la mentalité du « tout mettre en place et puis oublier » et s’assurer que les bons processus sont mis en place pour que les développeurs aient accès à toutes les informations contextuelles nécessaires pour corriger les vulnérabilités en amont. », explique Nabil Bousselham, architecte de solutions informatique chez Veracode.
Accédez maintenant à un nombre illimité de mot de passe :