Discussion :

[Olivier Famien]

De nombreuses entreprises utilisent des logiciels open source sans suivre l’évolution de la sécurité de ces logiciels
qui constituent des cibles pour les pirates

Au début de cette année, l’entreprise CSO travaillant dans le domaine la recherche d’informations au sujet de la sécurité informatique déclarait que les attaques basées sur les vulnérabilités dans les logiciels open source vont augmenter de 20 % cette année. Et pour cause, de nombreux logiciels commerciaux ou gratuits utilisent de plus en plus du code open source qui est également analysé par les tiers malveillants pour en trouver des failles et cibler les logiciels qui les intègrent.

En septembre dernier, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l’une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’un accès non autorisé à sa base de données contenant 143 millions de ses clients américains. Selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web.

Dans un récent rapport publié par Flexera, l’entreprise de développement de logiciels de sécurité vient de découvrir qu’environ 50 % du code source des logiciels commerciaux et ceux des objets connectés sont issus de l’open source. Bien que cela dénote de la bonne santé des logiciels open source, cela pourrait également faire migrer les problèmes liés au code open source dans les autres environnements.

Pour mieux comprendre les conséquences liées à l’utilisation du code open source, Flexera a interrogé 400 éditeurs de logiciels et fabricants d’objets connectés ainsi que des équipes de développement logiciels internes aux entreprises. Après avoir analysé les différentes réponses des entreprises interrogées, il s’avère que seulement 37 % des représentants ont une politique d’acquisition ou d’utilisation open source. Cela sous-entend également que 63 % des répondants n’ont pas de politique d’acquisition ou d’utilisation open source, ou qu’ils ne savent pas s’il en existe une dans leur entreprise. Cela est assez étonnant dans la mesure où sur ces 63 % de fournisseurs de logiciels qui ont admis qu’ils n’ont pas de politique d’acquisition ou d’utilisation open source ou ne savent pas s’il en existe une au sein de leur entreprise, 43 % déclarent qu’ils contribuent à des projets open source.

Selon Jeff Luszcz, vice-président de la gestion des produits chez Flexera, « nous ne pouvons pas perdre de vue le fait que l’open source est en effet une victoire claire. Le code prêt à l’emploi permet d’obtenir des produits plus rapidement, ce qui est important compte tenu de la vitesse fulgurante de l’espace logiciel ». Mais l’homme ajoute cependant que « la plupart des ingénieurs logiciels ne suivent pas l’utilisation open source, et la plupart des responsables de logiciels ne réalisent pas qu’il existe un écart et un risque de sécurité/conformité ».

En continuant d’analyser les réponses obtenues, Flexera note que pour 39 % des répondants, soit il n’existe personne au sein de leur entreprise qui est responsable de la conformité open source – ou soit ils ne savent pas qui s’en occupe. Par ailleurs, sur les 400 représentants qui ont répondu aux questions, 33 % d’entre eux soutiennent que leurs entreprises contribuent à des projets open source.

À la lumière de ce sondage, Luszcz déclare que « les processus open source protègent les produits et la réputation de la marque. Mais la plupart des éditeurs de logiciels et d’IdO ne se rendent pas compte qu’il y a un problème, ainsi ils ne se protègent pas eux-mêmes et ne protègent pas leurs clients ». Pour Luszcz, « cela met en danger toute la chaîne d’approvisionnement du logiciel — pour les fournisseurs dont les produits sont exposés au risque de conformité et de vulnérabilité. Et aussi pour leurs clients qui ne savent probablement même pas qu’ils utilisent des logiciels open source et d’autres logiciels tiers, ou qu’ils peuvent contenir des vulnérabilités logicielles ».

Source : Rapport Flexera

Et vous ?

Quel est votre avis sur ce rapport ?

Le manque de suivi de la sécurité des logiciels open source décrié dans ce rapport reflète-t-il ce qui se fait dans les entreprises ?

Ou le rapport dépeint-il un portait surfait de la réalité concernant la sécurité liée à l’utilisation des logiciels open source ?

Voir aussi

Open source : de nombreuses applications héritent des failles des composants utilisés, les corrections de ces dernières se font en moyenne en 390 jours
Un chercheur remet en question la gestion des failles de sécurité des projets open source, et propose quelques bonnes pratiques

[BufferBob]

dans la tete des dirigeants, OpenSource rime essentiellement avec réduction des couts, alors on en met un peu partout c'est bien
de l'autre coté, la sécurité est encore trop souvent le laissé pour compte du budget, on rechigne à y mettre des ressources, pourtant c'est un métier à part entière, ça ne s'improvise pas

dans beaucoup de pme c'est -au mieux !- un développeur qui est en charge de l'admin sys et de la sécu, donc il fait ce qu'il peut, sans garantie.
et à l'inverse dans les entreprises de taille plus importante les ressources coté sécurité peuvent manquer, et si on ajoute la lourdeur des process, on se retrouve avec une prod en mode "ça marche, on touche pas"

[Uranne-jimmy]

dans beaucoup de pme c'est -au mieux !- un développeur qui est en charge de l'admin sys et de la sécu, donc il fait ce qu'il peut, sans garantie.

Dans ma boite, ce dev, c'est moi .

Toujours est il que rajouter à cet article des points d'entrer pour aider les gens à mieux se prémunir, ça serait un plus parfaitement utile (je ne travail pas avec de l'open source en milieu pro mais il n'y a pas que là qu'il faut savoir se protéger).

[marsupial]

La description de BufferBob correspond parfaitement dans le meilleur des cas. Et comme le fait comprendre Urane-Jimmy, lorsqu'il s'agit de code propriétaire, c'est pire.
J'aimerai qu'à chaque règle existe des exceptions, malheureusement, je n'en connais pas.

[abriotde]

On peux virer Open-Source. Dans les entreprises la politique est "Tant que ça marche" quelques soit le logiciel. Et la politique est de dire "de toute façons il y a des gardiens à l'entrée" (VPN, firewall...)

[koyosama]

On peux virer Open-Source. Dans les entreprises la politique est "Tant que ça marche" quelques soit le logiciel. Et la politique est de dire "de toute façons il y a des gardiens à l'entrée" (VPN, firewall...)

C'est clair. Je prends et je ne contribue même pas derrière au passage et je prône le libre parce que cela fait de moi un mec cool. Voici un exemple

[koyosama]

dans la tete des dirigeants, OpenSource rime essentiellement avec réduction des couts, alors on en met un peu partout c'est bien
de l'autre coté, la sécurité est encore trop souvent le laissé pour compte du budget, on rechigne à y mettre des ressources, pourtant c'est un métier à part entière, ça ne s'improvise pas

dans beaucoup de pme c'est -au mieux !- un développeur qui est en charge de l'admin sys et de la sécu, donc il fait ce qu'il peut, sans garantie.
et à l'inverse dans les entreprises de taille plus importante les ressources coté sécurité peuvent manquer, et si on ajoute la lourdeur des process, on se retrouve avec une prod en mode "ça marche, on touche pas"

Même quand tu as la dream-team, surtout dans les grosses boîtes tu as conflie d'intérêt. Et au final, tout le monde fait du Shadow IT parce personne n'est content. Il faut plus que des qualifications, il faut de vrai manager et de vrai patron, de vrai logiciel et de vrai PC. Je me demande combien de fois, j'ai demandé au sys-admin de me mettre un logiciel alors qu'il aurait pu me mettre un store d'entreprise, combien de fois je demande les logs de la prod et ils savaient même où c'était et mis trois semaines pour me les sortir.

En fait plus le process est long, plus on utilise des choses qu'on devrait pas pour répondre aux tâches rapidement et valider nos tickets plus rapidement.

[Aeson]

Quoi ? C'est pas la communauré qui s'occupe de ca ? C'est pas ca justemeny le point fort de l' OpenSource ?