IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    février 2017
    Messages
    1 124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 1 124
    Points : 35 454
    Points
    35 454
    Par défaut Open source : les failles de sécurité des logiciels restent souvent non détectées pendant plus de 4 ans
    Les failles de sécurité des logiciels open source passent parfois sous les radars de la détection pendant 4 ans avant d’être révélées
    En raison des faiblesses du modèle de financement de la sphère

    Les failles de sécurité des logiciels open source passent parfois sous les radars de la détection pendant plus de quatre ans. C’est l’une des conclusions phares du dernier rapport State of the Octoverse de la plateforme d’hébergement et de gestion de développement de logiciels – GitHub. Les logiciels open source permettent pourtant une consultation de leur code source (par tous) à l’inverse de leurs homologues à code source fermé. La réalité est que l’insuffisance de financement (qui entraîne une réduction en ressources humaines) constitue la plupart du temps un frein à la recherche et la découverte de ces vulnérabilités.

    Heartbleed par exemple est une vulnérabilité logicielle présente au sein de la bibliothèque de cryptographie OpenSSL à partir de mars 2012. Elle permet à un attaquant de lire la mémoire d’un serveur ou d’un client pour récupérer utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). La faille qui concerne de nombreux services Internet n’a été découverte qu’en mars 2014 et rendue publique en Avril 2014. Cela a donc laissé une fenêtre de deux années à des pirates informatiques pour s’en prendre à des milliers de serveurs.

    La vulnérabilité se serait retrouvée par erreur dans le référentiel d’OpenSSL à la suite d’une proposition de correction de bogues et d’améliorations de fonctionnalités par un développeur bénévole. Les failles de ce type (introduites par erreur) comptent pour 83 % de celles découvertes sur des projets open source hébergés sur GitHub. Toutefois, le dernier rapport State of the Octoverse fait état de ce que 17 % sont des vulnérabilités introduites à dessein par des tiers malveillants. Ce sont des chiffres à compléter avec ceux d’un récent rapport Risksense qui lui souligne que les failles dans les logiciels open source ne cessent d’aller croissant. Les projets informatique s’appuient de plus en plus de l’open source ce qui explique un intérêt grandissant des pirates pour la sphère.

    Nom : 15.png
Affichages : 12694
Taille : 24,0 Ko

    Le modèle de financement de la sphère open source est parmi les facteurs les plus susceptibles d’expliquer que les failles de sécurité au sein des logiciels passent sous les radars pendant des périodes aussi importantes. La Core Infrastructure Initiative (CII) est l’un des rares projets visant à financer et soutenir des projets de logiciels libres et open source qui sont essentiels pour le fonctionnement de l'Internet et d'autres grands systèmes d'information. Ce dernier a fait l’objet d’annonce suite à la vulnérabilité critique Heartbleed dans OpenSSL qui est utilisé sur des millions de sites web. Problème : la CII repose sur des apports d’acteurs bien établis dans l’univers des logiciels propriétaires. Facebook, VMWare, Microsoft, Comcast et Oracle (pour ne citer que ces entreprises là) financent financent la Linux Foundation et donc des projets comme la Core Infrastructure Initiative (CII). Cela leur confère des sièges aux différents conseils de décision et donc un certain contrôle sur ce qui se passe dans la sphère de l’open source. Bryan Lunduke – ancien membre du Conseil d’administration d’openSUSE – parle de cet état de choses avec plus de détails.


    La conséquence immédiate est que les projets open source qui bénéficient de financement sont ceux sur lesquels leurs infrastructures s’appuient en majorité.

    Source : State of the Octoverse

    Et vous ?

    Que pensez-vous de l’actuel modèle de financement de la sphère open source ?
    Êtes-vous d’accord avec l’idée selon laquelle c’est l’un des plus gros facteurs qui expliquent la présence de failles au sein de logiciels open source pendant de longue période ?
    Quelle comparaisons en la matière faites-vous avec les pratiques dans la sphère des logiciels propriétaires ?

    Voir aussi :

    Open source : les projets de Microsoft attirent plus de contributeurs que ceux des autres organisations, d'après le rapport annuel de GitHub

    Personne, ni même Microsoft, ne peut prendre le contrôle à lui tout seul du projet Linux, a déclaré Linus Torvalds

    L'open source souffre-t-il d'un problème du « travail gratuit » ? Oui, selon Havoc Pennington

    Qu'advient-il du code open source après le décès du développeur ? Quelles solutions adopter pour éviter les problèmes liés à l'abandon du code ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Architecte Web / Android
    Inscrit en
    août 2003
    Messages
    6 159
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Architecte Web / Android
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 6 159
    Points : 17 556
    Points
    17 556
    Par défaut
    La différence majeure c'est surtout que dans l'O-S on communique sur les failles. Alors qu'en code proprio c'est rarement le cas.
    C'est probablement ca qui donne cette fausse impression que le code open source est plus à risque
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  3. #3
    Membre éprouvé
    Profil pro
    Inscrit en
    juin 2009
    Messages
    324
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2009
    Messages : 324
    Points : 1 104
    Points
    1 104
    Par défaut
    Heu, on m'a toujours vendu que Java était un exemple de réussite de l'open source.

    Cette news c'est pas une façon d'afficher Java ?

    Non parce que bon, comme déjà dit, les logiciels propriétaire ne communiquent pas vraiment sur leur failles de sécurités, on a donc aucune base pour comparer.

  4. #4
    Membre éclairé
    Homme Profil pro
    Intégrateur Web
    Inscrit en
    août 2012
    Messages
    236
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Intégrateur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2012
    Messages : 236
    Points : 838
    Points
    838
    Par défaut Il n'empêche que le problème est réel
    Citation Envoyé par grunk Voir le message
    La différence majeure c'est surtout que dans l'O-S on communique sur les failles. Alors qu'en code proprio c'est rarement le cas.
    C'est probablement ca qui donne cette fausse impression que le code open source est plus à risque
    Il n'empêche que le problème est réel. Ce n'est pas en disant qu'il y a un problème ailleurs que ça le fera disparaitre.

  5. #5
    Membre expérimenté
    Inscrit en
    janvier 2006
    Messages
    517
    Détails du profil
    Informations forums :
    Inscription : janvier 2006
    Messages : 517
    Points : 1 720
    Points
    1 720
    Par défaut Et?
    Et les failles des logiciels propriétaires, elles restent hors du radar combien de temps d'après vous? Les chiffres donnés par cette étude ne prouvent rien sur l'open source à moins de donner les chiffres correspondants sur des logiciels propriétaires histoire de voir s'ils sont meilleurs. Mais pour ça, comme relevé comme un intervenant du dessus, encore faut-il que les logiciels propriétaires communiquent sur les failles...

    Citation Envoyé par sirthie Voir le message
    Il n'empêche que le problème est réel. Ce n'est pas en disant qu'il y a un problème ailleurs que ça le fera disparaitre.
    Problème réel peut-être, mais comme je disais plus haut, en faire un problème typique de l'open source sans prouver que le logiciel propriétaire fait mieux, c'est juste une manière de taper encore sur l'open source gratuitement.

    Citation Envoyé par walfrat Voir le message
    Heu, on m'a toujours vendu que Java était un exemple de réussite de l'open source.

    Cette news c'est pas une façon d'afficher Java ?
    Euh, Java et open source comment dire... Déjà, Java n'est réellement open source que depuis la version 6, du coup je ne vois pas trop le rapport.
    Par contre c'est vrai qu'il y a beaucoup de logiciels open source en Java. C'est peut-être parce qu'il y a beaucoup de logiciels en Java, tout simplement. Genre, je travaille sur un logiciel open source en java, dont le gros concurrent propriétaire est écrit aussi en Java. Du coup je ne vois pas trop le rapport.

  6. #6
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    juillet 2011
    Messages
    25
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2011
    Messages : 25
    Points : 53
    Points
    53
    Par défaut
    GitHub appartient à Microsoft. Étude commandée par GitHub donc par Microsoft. L'étude dit : "L'open source c'est bien mais ça peut être dangereux." Microsoft qui contribue depuis longtemps à l'open source et qui s'en vante maintenant (coucou WSL). Le message est clair de Microsoft : "Viendez chez nous, on vous promet de l'open source avec la qualité des licences propriétaires." Comme les informaticiens sensés se comptent sur les doigts d'une main, j'annonce la mort d'ici 10 ans de tous les petits projets open source. seuls Linux, LibreOffice et quelques mastodontes de l'open source vivoteront. Faudra pas chialer quand Microsoft et autres GAFA auront cannibalisé la concurrence open source et que les logiciels seront hors de prix.

  7. #7
    Nouveau membre du Club
    Profil pro
    Inscrit en
    mars 2009
    Messages
    13
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2009
    Messages : 13
    Points : 30
    Points
    30
    Par défaut Juste pour info
    Juste pour info, des failles de sécurité dans Internet Explorer et Windows, de plus connues, sont restées plus de 10 ans sans qu'on crie au scandale, donc le comparatif est simple, le libre fait pas mieux que les logiciels propriétaires sauf sur la transparence et dû coup ça les motivent quand même plus à régler les problèmes. D'ailleurs vu le nombre de projet libre à l'abandon, et qui ont des failles de sécurités, ça fausse un peu les stats.

  8. #8
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    13 781
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 13 781
    Points : 31 437
    Points
    31 437
    Par défaut
    le libre fait pas mieux que les logiciels propriétaires
    sauf que le libre c'est gratuit, alors que les logiciels propriétaires on les achète avec des vices cachés du coup. Comme il existe des failles non détectés dans le libre comme dans le propriétaire, je vois pas en quoi ce seul critère est suffisant.

    La réalité est que l’insuffisance de financement (qui entraîne une réduction en ressources humaines) constitue la plupart du temps un frein à la recherche et la découverte de ces vulnérabilités.
    ça se conçoit tout à fait. L'insuffisance de financement du service qualification des grands éditeurs pose le même problème. Tout comme la sortie d'une version système par an par exemple, c'est un peu court pour roder le truc.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

Discussions similaires

  1. Réponses: 0
    Dernier message: 04/08/2020, 18h18
  2. Réponses: 29
    Dernier message: 27/08/2015, 10h38
  3. Réponses: 17
    Dernier message: 21/11/2013, 00h35
  4. Réponses: 3
    Dernier message: 09/01/2012, 16h31
  5. Réponses: 0
    Dernier message: 01/02/2011, 21h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo