Discussion :

[Patrick Ruiz]

Les failles de sécurité des logiciels open source passent parfois sous les radars de la détection pendant 4 ans avant d’être révélées
En raison des faiblesses du modèle de financement de la sphère

Les failles de sécurité des logiciels open source passent parfois sous les radars de la détection pendant plus de quatre ans. C’est l’une des conclusions phares du dernier rapport State of the Octoverse de la plateforme d’hébergement et de gestion de développement de logiciels – GitHub. Les logiciels open source permettent pourtant une consultation de leur code source (par tous) à l’inverse de leurs homologues à code source fermé. La réalité est que l’insuffisance de financement (qui entraîne une réduction en ressources humaines) constitue la plupart du temps un frein à la recherche et la découverte de ces vulnérabilités.

Heartbleed par exemple est une vulnérabilité logicielle présente au sein de la bibliothèque de cryptographie OpenSSL à partir de mars 2012. Elle permet à un attaquant de lire la mémoire d’un serveur ou d’un client pour récupérer utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). La faille qui concerne de nombreux services Internet n’a été découverte qu’en mars 2014 et rendue publique en Avril 2014. Cela a donc laissé une fenêtre de deux années à des pirates informatiques pour s’en prendre à des milliers de serveurs.

La vulnérabilité se serait retrouvée par erreur dans le référentiel d’OpenSSL à la suite d’une proposition de correction de bogues et d’améliorations de fonctionnalités par un développeur bénévole. Les failles de ce type (introduites par erreur) comptent pour 83 % de celles découvertes sur des projets open source hébergés sur GitHub. Toutefois, le dernier rapport State of the Octoverse fait état de ce que 17 % sont des vulnérabilités introduites à dessein par des tiers malveillants. Ce sont des chiffres à compléter avec ceux d’un récent rapport Risksense qui lui souligne que les failles dans les logiciels open source ne cessent d’aller croissant. Les projets informatique s’appuient de plus en plus de l’open source ce qui explique un intérêt grandissant des pirates pour la sphère.

Le modèle de financement de la sphère open source est parmi les facteurs les plus susceptibles d’expliquer que les failles de sécurité au sein des logiciels passent sous les radars pendant des périodes aussi importantes. La Core Infrastructure Initiative (CII) est l’un des rares projets visant à financer et soutenir des projets de logiciels libres et open source qui sont essentiels pour le fonctionnement de l'Internet et d'autres grands systèmes d'information. Ce dernier a fait l’objet d’annonce suite à la vulnérabilité critique Heartbleed dans OpenSSL qui est utilisé sur des millions de sites web. Problème : la CII repose sur des apports d’acteurs bien établis dans l’univers des logiciels propriétaires. Facebook, VMWare, Microsoft, Comcast et Oracle (pour ne citer que ces entreprises là) financent financent la Linux Foundation et donc des projets comme la Core Infrastructure Initiative (CII). Cela leur confère des sièges aux différents conseils de décision et donc un certain contrôle sur ce qui se passe dans la sphère de l’open source. Bryan Lunduke – ancien membre du Conseil d’administration d’openSUSE – parle de cet état de choses avec plus de détails.

La conséquence immédiate est que les projets open source qui bénéficient de financement sont ceux sur lesquels leurs infrastructures s’appuient en majorité.

Source : State of the Octoverse

Et vous ?

Que pensez-vous de l’actuel modèle de financement de la sphère open source ?
Êtes-vous d’accord avec l’idée selon laquelle c’est l’un des plus gros facteurs qui expliquent la présence de failles au sein de logiciels open source pendant de longue période ?
Quelle comparaisons en la matière faites-vous avec les pratiques dans la sphère des logiciels propriétaires ?

Voir aussi :

Open source : les projets de Microsoft attirent plus de contributeurs que ceux des autres organisations, d'après le rapport annuel de GitHub

Personne, ni même Microsoft, ne peut prendre le contrôle à lui tout seul du projet Linux, a déclaré Linus Torvalds

L'open source souffre-t-il d'un problème du « travail gratuit » ? Oui, selon Havoc Pennington

Qu'advient-il du code open source après le décès du développeur ? Quelles solutions adopter pour éviter les problèmes liés à l'abandon du code ?

[grunk]

La différence majeure c'est surtout que dans l'O-S on communique sur les failles. Alors qu'en code proprio c'est rarement le cas.
C'est probablement ca qui donne cette fausse impression que le code open source est plus à risque

[walfrat]

Heu, on m'a toujours vendu que Java était un exemple de réussite de l'open source.

Cette news c'est pas une façon d'afficher Java ?

Non parce que bon, comme déjà dit, les logiciels propriétaire ne communiquent pas vraiment sur leur failles de sécurités, on a donc aucune base pour comparer.

[sirthie]

La différence majeure c'est surtout que dans l'O-S on communique sur les failles. Alors qu'en code proprio c'est rarement le cas.
C'est probablement ca qui donne cette fausse impression que le code open source est plus à risque

Il n'empêche que le problème est réel. Ce n'est pas en disant qu'il y a un problème ailleurs que ça le fera disparaitre.

[esperanto]

Et les failles des logiciels propriétaires, elles restent hors du radar combien de temps d'après vous? Les chiffres donnés par cette étude ne prouvent rien sur l'open source à moins de donner les chiffres correspondants sur des logiciels propriétaires histoire de voir s'ils sont meilleurs. Mais pour ça, comme relevé comme un intervenant du dessus, encore faut-il que les logiciels propriétaires communiquent sur les failles...

Il n'empêche que le problème est réel. Ce n'est pas en disant qu'il y a un problème ailleurs que ça le fera disparaitre.

Problème réel peut-être, mais comme je disais plus haut, en faire un problème typique de l'open source sans prouver que le logiciel propriétaire fait mieux, c'est juste une manière de taper encore sur l'open source gratuitement.

Heu, on m'a toujours vendu que Java était un exemple de réussite de l'open source.

Cette news c'est pas une façon d'afficher Java ?

Euh, Java et open source comment dire... Déjà, Java n'est réellement open source que depuis la version 6, du coup je ne vois pas trop le rapport.
Par contre c'est vrai qu'il y a beaucoup de logiciels open source en Java. C'est peut-être parce qu'il y a beaucoup de logiciels en Java, tout simplement. Genre, je travaille sur un logiciel open source en java, dont le gros concurrent propriétaire est écrit aussi en Java. Du coup je ne vois pas trop le rapport.

[tomsawyer1311]

GitHub appartient à Microsoft. Étude commandée par GitHub donc par Microsoft. L'étude dit : "L'open source c'est bien mais ça peut être dangereux." Microsoft qui contribue depuis longtemps à l'open source et qui s'en vante maintenant (coucou WSL). Le message est clair de Microsoft : "Viendez chez nous, on vous promet de l'open source avec la qualité des licences propriétaires." Comme les informaticiens sensés se comptent sur les doigts d'une main, j'annonce la mort d'ici 10 ans de tous les petits projets open source. seuls Linux, LibreOffice et quelques mastodontes de l'open source vivoteront. Faudra pas chialer quand Microsoft et autres GAFA auront cannibalisé la concurrence open source et que les logiciels seront hors de prix.

[shunesburg69]

Juste pour info, des failles de sécurité dans Internet Explorer et Windows, de plus connues, sont restées plus de 10 ans sans qu'on crie au scandale, donc le comparatif est simple, le libre fait pas mieux que les logiciels propriétaires sauf sur la transparence et dû coup ça les motivent quand même plus à régler les problèmes. D'ailleurs vu le nombre de projet libre à l'abandon, et qui ont des failles de sécurités, ça fausse un peu les stats.

[chrtophe]

le libre fait pas mieux que les logiciels propriétaires

sauf que le libre c'est gratuit, alors que les logiciels propriétaires on les achète avec des vices cachés du coup. Comme il existe des failles non détectés dans le libre comme dans le propriétaire, je vois pas en quoi ce seul critère est suffisant.

La réalité est que l’insuffisance de financement (qui entraîne une réduction en ressources humaines) constitue la plupart du temps un frein à la recherche et la découverte de ces vulnérabilités.

ça se conçoit tout à fait. L'insuffisance de financement du service qualification des grands éditeurs pose le même problème. Tout comme la sortie d'une version système par an par exemple, c'est un peu court pour roder le truc.