2 pièce(s) jointe(s)
Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 12 mois
Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 1 an
Cependant, leur utilisation a augmenté de 120 %, selon un rapport
Un nouveau rapport d’état des logiciels a été publié hier par Sonatype, société d’automatisation des logiciels, selon lequel les entreprises continueraient de télécharger et d’utiliser certains logiciels libres malgré l’énorme attaque contre Equifax, l’agence d'évaluation du crédit à la consommation. En effet, l’attaque a été rendu possible grâce un composant open source vulnérable connu du projet Apache Struts.
Un logiciel libre est un logiciel dont l'utilisation, l'étude, la modification et la duplication par autrui en vue de sa diffusion sont permises, techniquement et légalement, ceci afin de garantir certaines libertés induites, dont le contrôle du programme par l'utilisateur et la possibilité de partage entre individus. Selon Sonatype, de tels logiciels sont en utilisation croissante dans les sociétés malgré les rapports de vulnérabilité et les discussions que ses rapports suscitent. Au cours des 12 derniers mois, l’utilisation des composants open source vulnérables a augmenté de 120 % en glissement annuel.
Dans son rapport de 2017, Sonatype attirait l’attention sur le fait que toutes les entreprises devenaient des sociétés de logiciels. Mais, selon la société, cette année la situation est passée à un autre niveau. Tous les types d’entreprises recrutent une armée de développeurs de logiciels et consomment des quantités extraordinaires de composants open source. Selon Sonatype, de nombreuses cyberattaques de grande envergure ont montré que les cybercriminels procèdent également en créant des vulnérabilités de sécurité dans la chaîne logistique des logiciels, y compris des logiciels libres.
11 exemples de cyberattaques récentes ont été cités qui montrent que ces attaquants ont commencé à injecter des failles directement dans des projets open source. A titre d’exemple, Gilbertson a signalé un package npm malveillant capable de collecter les numéros des cartes de crédits sur des centaines de sites Web.
La majorité des vulnérabilités relevées par la Société de logiciels repose sur la manipulation des npm et 1,3 millions des vulnérabilités découvertes dans les composants de logiciels open source ne sont pas dans la base de données publique des vulnérabilités NDV, c’est-à-dire qu’elles sont nouvelles par conséquent, difficiles à traiter, selon Sonatype.
En outre, Sonatype estime que 170 000 composants open sources sont téléchargés par une entreprise moyenne par an, dont un est vulnérable sur huit. Aussi, Sonatype a découvert le temps moyen pour exploiter les vulnérabilités qui est de 3 jours. Ces données rendent plus difficile la situation pour les entreprises qui utilisent des logiciels open source vulnérables.
Toutefois, la cyberattaque, facilitée par un composant open source vulnérable connu du projet Apache Struts dont a été victime Equifax en 2017 a suscité un débat sur les dépendances sécuritaires des chaînes d’approvisionnement en logiciels. Cependant, ce débat n’a pas vraiment enseigné les entreprises qui continuent de télécharger des versions du composant vulnérable presqu’à la même allure (environ 80 000 téléchargements par mois) que l’an dernier où l’attaque a eu lieu. Le taux de téléchargement d’un autre framework vulnérable appelé Spring n’a diminué que de 15 % en passant de 85 000 l’an dernier à 72 000 cette année.
Ayant basé son enquête sur un large éventail de données publiques et propriétaires ainsi que sur des recherches et analyses d'experts, Sonatype est parvenu à un ensemble de mesures, qui mises en œuvres, pourraient réduire les risques de violation en éliminant les composants logiciels vulnérables. Ce sont l’automatisation du cycle de développement des logiciels, une analyse étendue des langages et des écosystèmes de développement afin de donner une image plus robuste de l’ensemble du système, la prise en main par les gouvernements de la réglementation sur le monde des logiciels libres, au lieu de l’autorégulation par les organisations.
Source : Rapport de Sonatype, Blog de Sonatype
Et vous ?
:fleche: Que pensez-vous de ce rapport ?
Voir aussi
:fleche: La France sacrée championne d'Europe du logiciel libre et de l'open source, devant l'Allemagne et le Royaume-Uni
:fleche: Le marché mondial des services open source devrait augmenter de 200 % d'ici 2022, avec un taux d'accroissement annuel de 23,65 %, d'après ReportBuyer
:fleche: Liste des logiciels libres recommandés par l'État en 2017 mise à jour par le SILL, de nouveaux entrants dans la rubrique virtualisation
:fleche: SILL 2018 : l'État actualise son référentiel de logiciels libres, qu'est-il recommandé pour la conception et le développement logiciel cette année ?
:fleche: Quelles sont les technologies les plus utilisées dans le monde Linux en 2017 ? Un sondage réalisé par la communauté LinuxQuestions.org
