La DARPA et la sécurité des codes Open Source
Depuis un certain moment, la division de l’armée américaine chargée de la recherche et de développement, la DARPA s’intéresse essentiellement à la sécurisation des codes open source.
Depuis un certain moment, la fiabilité des codes provenant de l’open source est mise en cause à cause de plusieurs situations liées à des vulnérabilités découvertes. En observant de plus près on peut comprendre l’inquiétude que suscite cette situation lorsqu’on sait que presque toutes les technologies importantes en circulation contiennent d’une manière ou d’une autre des codes Open Source. C’est sûrement cette situation qui interpelle l’armée américaine pour qu’elle veuille l’ancien projet à l’ombre ce sens.
Cet article va aussi vous intéresser : La menace derrière les logiciels open source
« La DARPA s’inquiète de la fiabilité du code open source, il fonctionne sur tous les ordinateurs de la planète et assure le fonctionnement des infrastructures critiques », Dave Aitel, ancien agent de la NSA par ailleurs spécialiste en sécurité informatique.
« Attendez une minute, littéralement tout ce que nous faisons est sous-tendu par Linux », ajoute celui-ci. « C’est maintenant que les gens le réalisent (…) Il n’est pas exagéré de dire que le monde entier est construit sur le noyau Linux, même si la plupart des gens n’en ont jamais entendu parler. », précise le spécialiste.
En regardant de manière un peu plus large la situation, on peut se rendre compte qu’énormément d’organisations en particulier les entreprises ne prêtent pas suffisamment de confiance au code open source. Quoique ces dernières ne peuvent pas véritablement s’en passer. Selon un rapport publié par la Fondation Linux et Snyk, société de sécurité informatique, 41 % d’entreprise ont manifesté leur manque de confiance aux outils Open Source. En début de cette situation l’open source est malheureusement incontournable. Non seulement ces codes libres permettent de gagner en temps mais, ils permettent aussi d’économiser de la ressource.
« Les développeurs de logiciels ont aujourd’hui leurs propres chaînes d’approvisionnement. Au lieu d’assembler des pièces de voiture, ils assemblent du code en patchant ensemble des composants open source existants avec leur code unique. Si cette situation entraîne une augmentation de la productivité et de l’innovation, elle crée également des problèmes de sécurité importants », note Matt Jarvis, le directeur des relations avec les développeurs chez Snyk.
« Le noyau Linux est l’un des tout premiers programmes qui se chargent lorsque la plupart des ordinateurs sont allumés. Il permet au matériel de la machine d’interagir avec le logiciel, régit l’utilisation des ressources et constitue la base du système d’exploitation. Il s’agit de la brique de base de la quasi-totalité du cloud computing, de pratiquement tous les superordinateurs, de l’ensemble de l’internet des objets, de milliards de smartphones, etc. », ajoute ce dernier.
Cependant il faut quand même mentionner que ce noyau est aussi fourni par de l’Open Source. En d’autres termes, tout le monde a accès au contenu de son code. Une situation qui fait bien évidemment peur aux spécialistes de la sécurité informatique. On peut juste retenir que à cause de cette situation particulière, n’importe qui peut analyser le noyau Linux de la quasi-totalité des appareils en circulation aujourd’hui dans le but de découvrir un moyen de l’exploiter de manière malveillante.
Par conséquent, en tant que fournisseur, éditeur, constructeur et même utilisateur, il est important de comprendre les questions de sécurité qui se dégage de la situation actuelle du noyau Linux et ses implications au niveau de la cybersécurité des infrastructures. C’est d’ailleurs dans ce contexte qu’intervient la DARPA. L’agence de recherche et développement de l’armée américaine veut comprendre les risques qui sont subséquents à la réalité de l’utilisation de l’open source.
À travers son programme SocialCyber, l’organisme étatique a pour objectif de faciliter la détection et la reconnaissance des acteurs malveillants, d’éviter que ces derniers ne puissent participer à la corruption des technologies impliquant de l’open source.
De l’autre côté, l’armée américaine veut avoir une meilleure compréhension des codes Open Source :
« L’écosystème des logiciels libres est l’une des plus grandes entreprises de l’histoire de l’humanité », note Sergey Bratus, un responsable du programme DARPA à l’origine du projet.
« Il est passé du statut d’enthousiasme à celui d’entreprise mondiale, formant la base de l’infrastructure mondiale, de l’Internet lui-même, des industries critiques et des systèmes essentiels à la mission, un peu partout (…) Les systèmes qui font fonctionner notre industrie, les réseaux électriques, la navigation, les transports », ajoute ce dernier.
Accédez maintenant à un nombre illimité de mot de passe :
