Par Gérard Haas et Marussia Samot
L’utilisation de composants logiciels open source est de plus en plus plébiscitée par de nombreux développeurs.
Cette dépendance croissante vis-à-vis des bibliothèques open source crée pourtant un risque certain lorsque ces logiciels, se trouvant cibles de cyberattaques, intègrent des vulnérabilités de plus en plus sophistiquées.
L’open source : un moyen d’intrusion dans la chaîne logistique
Aujourd’hui, 90% des composants logiciels d’une application proviennent de l’open source.
Les logiciels open source (open-source software/OSS en anglais), construits à partir d’un code ouvert et gratuit – ou presque – permettent de développer à moindre coût, sans qu’il ne soit nécessaire l’achat d’une licence à des entreprises propriétaires (bien que cela n’empêche pas de compter les coûts d’installation et de maintenance).
Chaque année, en moyenne 373 000 logiciels open source sont téléchargés. Cette pratique ne fait qu’augmenter puisqu’en 2020, les développeurs ont accédé à plus de 1 500 milliards de composants logiciels open source et conteneurs.
C’est pourquoi les bibliothèques d’open source sont désormais l’apanage des entreprises.
Outre leur accessibilité et leur faible coût, l’autre avantage de ces bibliothèques d’open source est qu’elles permettent l’accélération de la supply chain.
Cette évolution stratégique de l’utilisation de l’open source est utile à trois échelles : la modernisation de l’infrastructure informatique, le développement d’applications et la transformation numérique de l’entreprise.
Cette accélération de l’innovation se recoupe le plus souvent à des préoccupations d’amélioration du niveau de support, la compatibilité des logiciels et la formation des salariés en interne.
Une autre difficulté est pourtant observée : les dépendances logicielles utilisées proviennent de sources tierces et peuvent contenir des vulnérabilités.
L’éditeur de la plateforme de gouvernance open source Nexus souligne que « ces artefacts sont utilisés comme des blocs de construction réutilisables, qui sont versés dans des référentiels publics (npm, Maven Central, PyPI, NuGet Gallery, RubyGems, etc.) où ils sont librement empruntés par des millions de développeurs à la poursuite d’une innovation plus rapide ».
Les cyberattaquants s’en prennent désormais à la base de la chaîne logicielle : le code de production non écrit par le développeur.
Des cyberattaques de nouvelle génération à direction des logiciels open source
Dénommées « confusion de dépendance », ces cyberattaques consistent à changer les scripts d’installation utilisés par les développeurs de logiciel open source en les remplaçant par des programmes malveillants parfaitement trompeurs, conduisant à bouleverser le système interne d’une entreprise.
Pourquoi est-il difficile de les endiguer ?
- Les projets open source s’appuient sur la contribution d’une large communauté de personnes, participant à l’amélioration continue des logiciels proposés, il est difficile d’évaluer les bonnes ou mauvaises intentions de chacun ;
- Les projets open source sont parfois dépendants d’autres projets open source complémentaires (plugins), qui contiennent eux-mêmes des vulnérabilités ;
- L’esprit de l’open source repose sur une confiance partagée au sein d’une communauté d’individus.
Désormais, les cyberattaquants ne se contentent plus d’user des vulnérabilités connues des codes open source. Ils adoptent des techniques de plus en plus sophistiquées permettant d’infiltrer en amont la base de la chaîne d’approvisionnement logicielle et d’en compromettre ses différents composants.
Ces cyberattaques de « nouvelle génération » offrent aux cyberattaquants une marge de manœuvre importante en permettant de faciliter le téléchargement de logiciels malveillants et de les distribuer en aval dans les applications internes de l’entreprise.
Les chiffres qui donnent l’alerte
Selon le dernier rapport annuel de Sonatype, intitulé « State of the Software Supply Chain 2020 », il apparait que 29% des logiciels open source contiennent au moins une faille de sécurité connue.
Les logiciels utilisant des bases de code open source se révèlent beaucoup plus sujets aux risques. Le pourcentage de vulnérabilités découvertes en leur sein est en augmentation depuis quelques temps :
2013 | 2014 | 2015 | 2016 | 2017 | 2018 | 2019 | 2020 |
Pourcentage de téléchargements ayant subi une faille de sécurité | 5.4 % | 6.2 % | 6.1 % | 5.5 % | 12.1 % | 10.3 % | 10.4 % | 11 % |
SON_SSSC-Report-2020_final_aug11.pdf (sonatype.com)
Or, s’assurer de la sécurité du code informatique utilisé par une entreprise est aujourd’hui une nécessité.
21% des équipes de développement ont subi au moins une faille de sécurité liée à l’open source au cours des douze derniers mois.
Il a été indiqué en 2020 une hausse de 430% des cyberattaques visant à infiltrer ces composants logiciels. Il est supposé qu’elles devraient encore augmenter à 650% pour 2021.
Ce qu'il faut retenir de la recrudescence des cyberattaques en direction des logiciels open source
- Connaître sa chaîne d’approvisionnement et veiller à la sécurisation du code open source. Des mesures d’audit pourront s’appliquer ;
- Mettre à jour régulièrement ses outils et logiciels car elles peuvent intégrer les derniers correctifs de sécurité aux vulnérabilités connues ;
- Faire preuve d’une plus grande vigilance, notamment si des bases de codes « populaires » sont exploitées car elles ont plus de chance d’être remplacées par des programmes malveillants.
***
Le département cyber sécurité du Cabinet Haas Avocats, spécialisé depuis plus de 20 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques.
Pour plus d’informations ou toute demande de rendez-vous, contactez-nous ici.