Titre: ESET : Les logiciels open source peuvent-ils être sûrs ? (26/09/2023 Par cda)
Le 26 septembre 2023 – Les logiciels open source permettent à n’importe qui de jeter un œil sous le capot et éventuellement de résoudre des problèmes de sécurité ou de fonctionnalité. Mais on peut aussi y introduire des portes dérobées passant parfois inaperçues pendant des années, selon une étude de 2022 publiée lors du 31e USENIX Security Symposium.
Les logiciels open source ont leurs origines dans les années 50 ; ce n'est qu'au début des années 80 qu’ils ont été considérés comme protégeables par le droit d'auteur aux USA. Dès lors, de nombreux éditeurs qui fournissaient du code source dans leurs produits ont cessé de le faire. Au cours des années 80 et au début des années 2000, des éditeurs comme Microsoft considéraient les logiciels open source comme une menace existentielle pour leur activité, avant de les adopter dans les années 2010.
Aujourd’hui, les Big Tech font de plus en plus de promotion pour des partenariats public-privé et pour la sécurité des logiciels open source. En 2022, la Maison Blanche a organisé un sommet sur la sécurité, probablement en raison de l'exploitation généralisée des vulnérabilités des logiciels open source. Récemment, la CISA https://www.cisa.gov/ a annoncé la publication d'une feuille de route de sécurité pour les logiciels open source, reconnaissant ainsi l'importance de ceux-ci dans l'écosystème technologique et son engagement à les sécuriser.
Les éditeurs de logiciels à code source fermé ont eux-aussi la possibilité d’avoir quelqu'un pour mettre à jour leurs logiciels en cas de problèmes. L'Open Source dépend davantage de nombreux bénévoles pour résoudre les problèmes lorsqu’ils surviennent : c'est ce qu'on appelle la loi de Linus « S'il y a suffisamment d'attention, tous les bugs sont superficiels. » Mais il est difficile de trouver des bénévoles et encore plus difficile de les forcer, en temps opportun, à s'occuper au quotidien des corrections de bugs– la partie de la sécurité la moins glamour – de sorte que les mises à jour sont parfois laissées pour compte. Cependant, cela pourrait changer : les programmes de bug bounty proposés par Google et Huntr sont un moyen de gagner de l'argent en trouvant et en corrigeant les vulnérabilités des logiciels open source.
La réalité des logiciels actuels se situe quelque part entre les deux – car de nombreux projets fermés s'appuient souvent sur des tas de logiciels «échafaudages» open source pour s'occuper des bases avant d’y ajouter leur sauce secrète. Il peut être judicieux de ne pas développer, à partir de zéro, une appli de messagerie pour gérer les notifications administratives : il existe des projets open source bien testés qui peuvent gérer cela.
Certaines entreprises, plus orientées open source, sont actives dans des projets logiciels de ce type qu'elles jugent importants. Parce qu'elles ont des clients commerciaux, leurs revenus leur permettent d'embaucher quelqu'un chargé de corriger les bugs.
Autre effet secondaire des logiciels open source : ils aident à relancer des communautés telles que celles des logiciels de communication qui doivent fonctionner en toute sécurité. Il ne faut pas tout reconstruire à partir de zéro pour essayer d'obtenir la bonne cryptographie.
C'est ce que font certains projets logiciels populaires de préservation de la confidentialité, tels que Proton et Signal. Ils ont une solide réputation pour garder les choses privées et sécurisées.
Les auteurs de Signal invitent chacun à revoir son code et, comme la messagerie personnelle est une fonction importante pour la société, les praticiens de la sécurité se concentrent sur ce point car une vulnérabilité ou une faiblesse cryptographique peut avoir des conséquences considérables.
Proton, basé en Suisse, a commencé avec une messagerie ultra-sécurisée, puis a développé d’autres services autour de la protection de l'identité des utilisateurs. Il s’agit d’une autre fonction importante pour la société, avec de graves conséquences en cas de problème.
Les logiciels fermés les plus couramment utilisés peuvent contenir des vulnérabilités depuis des années, comme CVE-2019-0859. Découverte par Kaspersky Lab, c’est une vulnérabilité 'use-after-free' trouvée après une décennie dans les systèmes d'exploitation Microsoft Windows, de Windows 7 à Windows 10 pour ordinateur de bureau et les versions Windows Server 2008 R2, 2012, 2012 R2, 2016 et 2019.
Les logiciels fermés ne sont pas plus sécurisés que les logiciels open source. L’important c’est le processus du développement des logiciels et les solutions de vulnérabilité qui sont mises en œuvre. Les organisations doivent se concentrer sur la fiabilité de ces solutions et la rapidité avec laquelle elles peuvent être déployées, et non pas sur le type de licence.
L’importance réside dans la réactivité de l’organisation hôte à l’égard de la communauté de sécurité au sens large. ESET contribue de manière significative à MITRE ATT&CK® framework et fournit de nombreux autres outils de sécurité souvent gratuits ou open source.
Dans le monde hybride des logiciels, presque toujours un mélange de logiciels open source et fermés, le test décisif : l'entreprise ou l'organisation est-elle ouverte aux suggestions et aux contributions et réinvestit-elle dans la communauté de la sécurité ? Et même si une sécurité parfaite reste difficile à atteindre, des équipes importantes, jouissant d’une bonne réputation, peuvent être d’une grande aide.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Retour