2 min de lecture<\/p>\n
96 pour cent de tous les logiciels commerciaux contiennent des composants open source. La plupart sont entretenus par des d\u00e9veloppeurs individuels et non r\u00e9mun\u00e9r\u00e9s. Log4j n\u2019\u00e9tait que le d\u00e9but – la prochaine catastrophe sommeille dans une biblioth\u00e8que entretenue par un mainteneur du Nebraska pendant son temps libre. Pourquoi le mod\u00e8le open source est en crise de s\u00e9curit\u00e9.<\/strong><\/p>\n En mars 2024, un d\u00e9veloppeur de Microsoft a d\u00e9couvert par hasard une porte d\u00e9rob\u00e9e dans xz Utils – une biblioth\u00e8que de compression pr\u00e9sente dans pratiquement chaque distribution Linux. La porte d\u00e9rob\u00e9e \u00e9tait sophistiqu\u00e9e : un attaquant s\u2019\u00e9tait infiltr\u00e9 pendant deux ans dans le projet en tant que contributeur bienveillant, avait gagn\u00e9 la confiance du mainteneur surcharg\u00e9 de travail et avait finalement int\u00e9gr\u00e9 une porte d\u00e9rob\u00e9e SSH.<\/p>\n L\u2019attaque n\u2019a \u00e9t\u00e9 d\u00e9couverte que par hasard – parce qu\u2019un d\u00e9veloppeur a remarqu\u00e9 que les connexions SSH \u00e9taient 500 millisecondes plus lentes que pr\u00e9vu. S\u2019il n\u2019avait pas \u00e9t\u00e9 curieux, la porte d\u00e9rob\u00e9e aurait compromis des millions de serveurs dans le monde. Ce n\u2019est pas un mod\u00e8le de s\u00e9curit\u00e9. C\u2019est de la chance.<\/p>\n Le mantra de l\u2019open source est : \u00ab Given enough eyeballs, all bugs are shallow. \u00bb La loi de Linus. L\u2019id\u00e9e que le code ouvert est automatiquement s\u00fbr parce que tout le monde peut le v\u00e9rifier. La r\u00e9alit\u00e9 : personne ne le v\u00e9rifie.<\/p>\n OpenSSL – la biblioth\u00e8que de cryptographie qui s\u00e9curise la moiti\u00e9 d\u2019Internet – a \u00e9t\u00e9 entretenue pendant des ann\u00e9es par deux personnes, avec un budget annuel de moins de 10 000 dollars. Heartbleed, l\u2019une des pires vuln\u00e9rabilit\u00e9s de l\u2019histoire d\u2019Internet, sommeillait dans le code depuis deux ans. Pas parce que le code \u00e9tait secret, mais parce que personne ne regardait.<\/p>\n Log4j – la biblioth\u00e8que de journalisation Java qui a mis Internet en \u00e9tat d\u2019urgence en 2021 – \u00e9tait entretenue par trois b\u00e9n\u00e9voles. Ils n\u2019avaient pas intentionnellement int\u00e9gr\u00e9 la vuln\u00e9rabilit\u00e9. Ils n\u2019avaient tout simplement pas les ressources pour v\u00e9rifier chaque chemin de code pour la s\u00e9curit\u00e9.<\/p>\n Les attaquants ont compris que le moyen le plus efficace d\u2019entrer dans des milliers d\u2019entreprises ne passe pas par leurs pare-feu, mais par leurs d\u00e9pendances. Un paquet npm compromis avec 10 millions de t\u00e9l\u00e9chargements hebdomadaires infecte automatiquement des milliers de pipelines de construction.<\/p>\n Les attaques deviennent plus sophistiqu\u00e9es : typosquatting (paquets avec des noms similaires \u00e0 des biblioth\u00e8ques populaires), confusion des d\u00e9pendances (noms de paquets internes remplac\u00e9s par des noms externes), prise de contr\u00f4le des mainteneurs (comme dans xz Utils). Et la d\u00e9fense ? Fragment\u00e9e, sous-financ\u00e9e et r\u00e9active.<\/p>\n Financement de l\u2019infrastructure critique :<\/strong> Les biblioth\u00e8ques open source utilis\u00e9es dans plus de 10 000 projets sont de facto une infrastructure critique. Elles doivent \u00eatre trait\u00e9es et financ\u00e9es comme telles – par des programmes gouvernementaux, des consortiums industriels ou des cotisations obligatoires des entreprises qui en d\u00e9pendent.<\/p>\n Software Bill of Materials (SBOM) :<\/strong> Chaque entreprise doit savoir quelles composantes open source sont int\u00e9gr\u00e9es dans ses produits. Les SBOM doivent devenir obligatoires – l\u2019UE travaille dessus, mais la mise en \u0153uvre prend trop de temps.<\/p>\n Audits de s\u00e9curit\u00e9 automatis\u00e9s :<\/strong> Chaque mise \u00e0 jour d\u2019une biblioth\u00e8que critique doit passer par une v\u00e9rification de s\u00e9curit\u00e9 automatis\u00e9e avant d\u2019\u00eatre int\u00e9gr\u00e9e dans les syst\u00e8mes de production. Des outils comme Dependabot, Snyk ou Socket.dev aident – mais ils doivent devenir la norme, pas une option.<\/p>\n L\u2019open source n\u2019est pas le probl\u00e8me – c\u2019est la solution \u00e0 d\u2019innombrables d\u00e9fis technologiques. Mais le mod\u00e8le de s\u00e9curit\u00e9 repose sur une illusion : que la b\u00e9n\u00e9volat et la transparence suffisent. Ce n\u2019est pas le cas. Le monde construit son infrastructure num\u00e9rique sur du travail non r\u00e9mun\u00e9r\u00e9 – et s\u2019\u00e9tonne lorsqu\u2019elle s\u2019effondre.<\/p>\n Attaque xz-Utils :<\/strong> La porte d\u00e9rob\u00e9e n\u2019a \u00e9t\u00e9 d\u00e9couverte que par hasard – l\u2019attaquant avait investi deux ans et aurait r\u00e9ussi sans un d\u00e9veloppeur attentif.<\/p>\n Manque de financement :<\/strong> La Linux Foundation estime que l\u2019infrastructure open source mondiale a besoin d\u2019au moins 2 milliards de dollars d\u2019investissement annuel – en r\u00e9alit\u00e9, moins de 200 millions de dollars sont investis.<\/p>\n Pas de mani\u00e8re g\u00e9n\u00e9rale. La logiciel propri\u00e9taire a les m\u00eames vuln\u00e9rabilit\u00e9s, elles sont simplement trait\u00e9es de mani\u00e8re moins transparente. La diff\u00e9rence : la logiciel propri\u00e9taire a des d\u00e9veloppeurs et des \u00e9quipes de s\u00e9curit\u00e9 r\u00e9mun\u00e9r\u00e9s. L\u2019open source a besoin de la m\u00eame chose – sans perdre la transparence.<\/p>\n Premi\u00e8rement : cr\u00e9er un SBOM pour tous les produits. Deuxi\u00e8mement : int\u00e9grer l\u2019analyse automatis\u00e9e des d\u00e9pendances dans la pipeline CI\/CD. Troisi\u00e8mement : soutenir financi\u00e8rement les projets open source critiques dont elles d\u00e9pendent.<\/p>\n Le CRA de l\u2019UE exige la s\u00e9curit\u00e9 par conception pour les produits logiciels – y compris les composants open source. C\u2019est une \u00e9tape importante, mais la mise en \u0153uvre doit garantir que les mainteneurs non r\u00e9mun\u00e9r\u00e9s ne sont pas criminalis\u00e9s, mais soutenus.<\/p>\n Source de l’image : Pexels<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"96 pour cent de tous les logiciels commerciaux contiennent des composants open source. La plupart sont entretenus par des d\u00e9veloppeurs individuels et non r\u00e9mun\u00e9r\u00e9s. Log4j n\u2019\u00e9tait que le d\u00e9but – la prochaine catastrophe sommeille dans une biblioth\u00e8que entretenue par un mainteneur du Nebraska pendant son temps libre. Pourquoi le mod\u00e8le open […]","protected":false},"author":55,"featured_media":4974,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"open source","_yoast_wpseo_title":"L'open source est le plus grand risque de s\u00e9curit\u00e9 au monde - Et nous l'ignoro","_yoast_wpseo_metadesc":"Open source : risque s\u00e9curit\u00e9 majeur ? D\u00e9couvrez pourquoi 96 % des logiciels sont concern\u00e9s et comment prot\u00e9ger votre entreprise d\u00e8s aujourd'hui.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-4973"],"footnotes":""},"categories":[252],"tags":[],"class_list":["post-7825","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"evm_reading_time_minutes":6,"wpml_language":"fr","wpml_translation_of":4973,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7825","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=7825"}],"version-history":[{"count":6,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7825\/revisions"}],"predecessor-version":[{"id":11858,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7825\/revisions\/11858"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/4974"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=7825"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=7825"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=7825"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}L’essentiel<\/h2>\n
\n
L\u2019alerte xz-Utils<\/h2>\n
La v\u00e9rit\u00e9 d\u00e9sagr\u00e9able sur \u00ab Given Enough Eyeballs \u00bb<\/h2>\n
Cha\u00eene d\u2019approvisionnement : Le vecteur d\u2019attaque parfait<\/h2>\n
Ce qui doit \u00eatre fait<\/h2>\n
Conclusion : L\u2019open source a besoin d\u2019un nouveau mod\u00e8le de s\u00e9curit\u00e9<\/h2>\n
Faits cl\u00e9s<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
La logiciel propri\u00e9taire est-il plus s\u00fbr que l\u2019open source ?<\/h3>\n
Que doivent faire les entreprises imm\u00e9diatement ?<\/h3>\n
Le Cyber Resilience Act (CRA) r\u00e9soudra-t-il le probl\u00e8me ?<\/h3>\n
Articles connexes<\/h2>\n
\n
Plus du r\u00e9seau MBF Media<\/h3>\n
\n