La menace derrière les logiciels open source

S’ils sont très utiles, les programmes informatiques Open Source continuent d’inquiéter l’ensemble de la communauté cybersécurité pour ce qu’il en est de leur sécurité.

Les entreprises sont inquiètes face à la menace informatique toujours grandissante. Dans ce contexte, elles font de leur mieux pour déployer les outils nécessaires capables de leur faciliter la lutte contre la cybercriminalité, en réduisant au maximum les coûts et les effets négatifs.

Cet article va aussi vous intéresser : Cybersécurité : les bibliothèques Open Source seraient des bombes à retardement

Dans une étude dans le rapport a été rédigé par la Fondation Linux et Snyk (une entreprise spécialisée dans la sécurité informatique), 49 % des entreprises utilisent dans le développement de leurs infrastructures informatiques, des programmes informatiques Open Source. Sans qu’on y prenne garde, les logiciels libres sont devenus aujourd’hui des aspects très importants dans le développement de l’informatique et cela à tous les niveaux.

Malheureusement ces programmes informatiques représentent un défi majeur pour la sécurité informatique et pour tous les spécialistes dans le domaine. Mais ces difficultés peuvent être surmontées. Il suffit juste de savoir bien s’organiser.

Pourtant, selon l’étude de la Fondation Linux et du Snyk, 41 % des entreprises soit plus de 4 organisations sur 10 ont exprimé ouvertement leur manque de confiance qui garde des logiciels libres pour ce qu’il en est de la cybersécurité.

Le rapport de la fondation linux et Snyk se base sur une enquête réalisée sur près de 550 répondants sur le premier trimestre de l’année 2022 et sur les analyses de Snyk Open Source, qui a permis l’analyse de près de 1 milliards de projets informatiques. On a pu retenir de manière générale que les failles de sécurité liées au projet open source ont connu une augmentation ces trois dernières années. Selon les spécialistes ces vulnérabilités ont littéralement doublé

Selon ce même rapport, un projet open source moyen peut comporter dans son développement près de 49 fois et de sécurité. Un projet informatique peut faire appel à 80 dépendances directes lorsqu’il utilise dans son développement des codes open source.

De plus, ce même rapport a mis en évidence que, seulement 49 % des organisations qui utilisent des logiciels libres ont une politique de sécurité concernant leur utilisation. Au sein des grandes entreprises, seulement 27 % d’entre elles ont de telles dispositions.

« Les développeurs ont aujourd’hui leurs propres supply chain (cycle de développement) », souligne Matt Jarvis, directeur des relations avec les développeurs chez Snyk, dans un communiqué de presse

« Au lieu d’assembler des pièces de voiture, ils assemblent du code à base de composants open source et de leur propre architecture. Bien que cela conduise à une productivité et une innovation accrues, cela a également créé des problèmes de sécurité importants », ajoute ce dernier.

« Chaque modification apportée au code par un développeur est analysée en 90 secondes en moyenne », note Manish Gupta, CEO et cofondateur de ShiftLeft. « Comme le code est encore frais dans l’esprit du développeur, il devient plus facile pour lui de corriger la vulnérabilité », ajoute celui-ci.

Dans un rapport récent de ShiftLeft, il a été mentionné que le logiciel fourni par cette entreprise a été amélioré en renforçant le temps à consacrer au scan. « Nous avons vu la taille moyenne des applications en termes de lignes de code diminuer », note le CEO. « Cela s’aligne sur le fait que davantage d’organisations passent aux microservices et à des applications plus petites et plus modulaires ».

Grâce à cela les clients de ShiftLeft un film à voir observé une réduction de 97 % les vulnérabilités qui affectent l’utilisation des logiciels open source. Des failles de sécurité qu’ils ont pu corriger depuis leurs applications.

« Lors de l’analyse des vulnérabilités OSS, l’important n’est pas le nombre de vulnérabilités d’une application, mais l’endroit où elles peuvent être exploitées par une personne mal intentionnée. », déclare Manish Gupta.

Selon ce dernier, le fait d’améliorer le temps nécessaire pour atténuer les vulnérabilités protège beaucoup plus de potentielles attaques informatiques basées sur ces mêmes failles de sécurité. « Certains de nos clients effectuent jusqu’à 30 000 analyses par mois », a souligné Manish Gupta.

Le rapport de ShiftLeft pose la question suivante : « La vulnérabilité est-elle réellement accessible par un attaquant ? ». C’est une interrogation très importante surtout qu’il : « s’agit de s’attaquer à des failles de type Zero Day telles que Log4J, auxquelles certaines entreprises sont encore confrontées plusieurs mois après sa découverte en décembre 2021. Elle affirme que 96 % des failles Log4J utilisées dans les applications de ses clients ne risquent pas d’être attaquées. Remédier à des vulnérabilités qui ne sont pas exploitables n’aura aucun impact sur le risque. Les entreprises devraient plutôt les déprioriser et se concentrer sur les autres. », avait déclaré Manish Gupta.

Accédez maintenant à un nombre illimité de mot de passe :