La Linux Foundation lance un service gratuit pour vérifier l'origine et l'authenticité des logiciels,
Grâce à une adoption facile de la signature cryptographique

Dans le but de sécuriser la chaîne d'approvisionnement des logiciels libres, la Linux Foundation, l'organisation à but non lucratif qui favorise l'innovation grâce à l'open source, s’est associée à Red Hat, Google et l'Université de Purdue pour lancer un nouveau projet visant à aider les développeurs à adopter facilement la signature cryptographique des logiciels, soutenue par des technologies de transparence des journaux. Compte tenu de l'augmentation constante du taux d'adoption industrielle des logiciels open source, le projet, appelé sigstore, vise à empêcher qu'une attaque sur un dépôt public de logiciels n'injecte du code vicié dans la chaîne d'approvisionnement.

sigstore permettra aux développeurs de logiciels de signer en toute sécurité des artefacts logiciels tels que des fichiers de version, des images de conteneur et des binaires. Les éléments signés sont ensuite stockés dans un journal public inviolable. L'utilisation du service sera gratuite pour tous les développeurs et fournisseurs de logiciels, le code et les outils d'exploitation de sigstore étant développés par la communauté sigstore. Red Hat, Google et l'Université de Purdue sont comptés parmi les membres fondateurs du projet.

Nom : J.jpg
Affichages : 2418
Taille : 20,0 Ko

« sigstore permet à toutes les communautés open source de signer leurs logiciels et combine la provenance, l'intégrité et la découvrabilité pour créer une chaîne d'approvisionnement logicielle transparente et vérifiable », a déclaré Luke Hinds, responsable de l'ingénierie de la sécurité au bureau du CTO de Red Hat. « En accueillant cette collaboration à la Linux Foundation, nous pouvons accélérer notre travail sur sigstore et soutenir l'adoption et l'impact continus des logiciels et du développement open source ».

La compréhension et la confirmation de l'origine et de l'authenticité des logiciels reposent sur un ensemble d'approches et de formats de données souvent disparates. Les solutions existantes s'appuient souvent sur des "digests" (condensés ou résultats d'une fonction de hachage) stockés sur des systèmes non sécurisés, susceptibles d'être altérés et de donner lieu à diverses attaques telles que l'échange de condensés ou des attaques ciblées contre les utilisateurs.

« La sécurisation du déploiement d'un logiciel devrait commencer par l'assurance que nous exécutons le logiciel que nous pensons avoir. sigstore représente une grande opportunité d'apporter plus de confiance et de transparence à la chaîne d'approvisionnement des logiciels open source », a déclaré Josh Aas, directeur exécutif de ISRG / Let's Encrypt.

Soutenant que la chaîne d'approvisionnement logicielle moderne est exposée à de multiples risques, le projet indique que les outils existants, qui impliquent que les personnes se rencontrent en personne pour signer les clés, et qui ont bien fonctionné pendant si longtemps, ne sont plus réalisables dans l'environnement actuel avec des équipes distantes géographiquement dispersées.

Ajoutez à cela, très peu de projets open source signent cryptographiquement les artefacts de la version du logiciel. Cela est dû en grande partie aux défis auxquels sont confrontés les mainteneurs de logiciels en matière de gestion des clés, de compromis sur des clés, de révocation et de distribution des clés publiques et des condensés des artefacts. Cela signifie que les utilisateurs doivent chercher à savoir à quelles clés faire confiance et apprendre les étapes nécessaires pour valider la signature.

La façon dont les condensés et les clés publiques sont distribués pose également problème : ils sont souvent stockés sur des sites Web susceptibles d'être piratés ou dans un fichier README situé sur un dépôt git public. sigstore cherche à résoudre ces problèmes en utilisant des clés éphémères de courte durée avec une racine de confiance tirée d'un journal de transparence public ouvert et vérifiable. Le nouveau service aidera les développeurs et les utilisateurs à comprendre et à confirmer l'origine et l'authenticité des logiciels, avec un minimum de frais généraux.

« Faire progresser l'état de l'art du développement open source »

« sigstore a pour objectif de rendre toutes les versions de logiciels open source vérifiables et de faciliter leur vérification par les utilisateurs. J'espère que nous pourrons rendre cela aussi facile que sortir de vim », a déclaré Dan Lorenc, ingénieur logiciel de l'équipe de sécurité des logiciels open source de Google. « Il a été amusant de voir ce projet prendre forme au grand jour. C'est génial de voir sigstore dans un endroit stable ».

« Je suis très enthousiaste à l'idée d'un système comme sigstore. L'écosystème logiciel a grand besoin d'un tel système pour rendre compte de l'état de la chaîne d'approvisionnement. Je pense qu'avec sigstore, qui répond à toutes les questions sur les sources et la propriété des logiciels, nous pourrons commencer à poser des questions sur les destinations des logiciels, les consommateurs, la conformité (légale et autre), afin d'identifier les réseaux criminels et de sécuriser les infrastructures logicielles critiques. Cela donnera un nouveau ton à la conversation sur la sécurité de la chaîne d'approvisionnement des logiciels », a déclaré Santiago Torres-Arias, professeur assistant de génie électrique et informatique à l’Université de Purdue et fondateur du projet in-toto, un framework qui garantit de manière cryptographique l'intégrité de la chaîne d'approvisionnement des logiciels.

Il convient de noter que les récentes attaques contre SolarWinds ont été l'un des exemples les plus répandus et les plus dévastateurs d'une attaque de la chaîne d'approvisionnement.

« sigstore est prêt à faire progresser l'état de l'art du développement open source », a déclaré Mike Dolan, vice-président senior et directeur général des projets de la Linux Foundation. « Nous sommes heureux d'héberger et de contribuer à un travail qui permet aux mainteneurs de logiciels et aux consommateurs de gérer plus facilement leurs logiciels open source et leur sécurité ».

sigstore a été conçu comme un service gratuit et sans but lucratif, dans la lignée de Let's Encrypt de l'ISRG, qui a largement amélioré l'accès aux certificats TLS/SSL. « Il s'inspire en grande partie du modèle de signature d'Apple et de celui de Microsoft », a expliqué Lorenc de Google. « Nous essayons de combiner cela avec l'approche du style Let's Encrypt, qui consiste à accorder et à gérer automatiquement des clés à courte durée de vie ».

Lorenc cite en exemple un développeur travaillant sur une application Node.js et souhaitant la publier sur npm, le registre du gestionnaire de paquets Node. Vous exécuteriez une commande pour signer votre application, votre navigateur s'ouvrirait et vous compléteriez le flux d'authentification OpenID Connect (OIDC) et la vérification de l'authentification à deux facteurs pour obtenir un jeton d'autorisation. Un certificat est automatiquement délivré à votre adresse électronique OIDC et il est ensuite téléchargé vers npm.

Selon Hinds de Red Hat, les seuls éléments de données qui sont stockés sont la signature utilisée pour signer l'artefact numérique, l'adresse électronique associée à la connexion OIDC, la clé publique et le condensé du composant signé. « Il n'est pas nécessaire de stocker des clés privées sur l'infrastructure de quelqu'un d'autre », a déclaré Hinds. « C'est ce qu'il y a de vraiment bien avec cette solution : les clés sont générées et sont immédiatement jetées. Elles ne peuvent pas être réutilisées ».

Une API fournie permettra à quiconque de vérifier les signatures. En fait, Hinds s'attend à ce que les éditeurs de logiciels intègrent cette fonctionnalité dans leurs propres services de surveillance de la sécurité. « Une fois qu'elle sera disponible, les chercheurs en sécurité pourront commencer à l'examiner de près et à voir ce qui se passe », a-t-il ajouté.

Sources : sigstore, Linux Foundation

Et vous ?

Que pensez-vous de sigstore ?
Quelles sont les fonctions de sigstore qui vous intéressent ?

Voir aussi :

Un mauvais usage de l'API de vérification du code signé avec l'outil d'Apple pourrait rendre du code malicieux indétectable sur macOS, selon Pitts
Un hacker a fait fuiter plus de 20 Go de code source Intel et de données propriétaires sous accord de non-divulgation, et promet d'en publier plus bientôt
La divulgation des codes sources de plusieurs versions de Windows dont XP et Server 2003 confirmée, après qu'un utilisateur est parvenu à obtenir des OS fonctionnels après compilation