Au début de cette année, l’entreprise CSO travaillant dans le domaine la recherche d’informations au sujet de la sécurité informatique déclarait que les attaques basées sur les vulnérabilités dans les logiciels open source vont augmenter de 20 % cette année. Et pour cause, de nombreux logiciels commerciaux ou gratuits utilisent de plus en plus du code open source qui est également analysé par les tiers malveillants pour en trouver des failles et cibler les logiciels qui les intègrent.
En septembre dernier, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l’une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’un accès non autorisé à sa base de données contenant 143 millions de ses clients américains. Selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web.
Dans un récent rapport publié par Flexera, l’entreprise de développement de logiciels de sécurité vient de découvrir qu’environ 50 % du code source des logiciels commerciaux et ceux des objets connectés sont issus de l’open source. Bien que cela dénote de la bonne santé des logiciels open source, cela pourrait également faire migrer les problèmes liés au code open source dans les autres environnements.
Pour mieux comprendre les conséquences liées à l’utilisation du code open source, Flexera a interrogé 400 éditeurs de logiciels et fabricants d’objets connectés ainsi que des équipes de développement logiciels internes aux entreprises. Après avoir analysé les différentes réponses des entreprises interrogées, il s’avère que seulement 37 % des représentants ont une politique d’acquisition ou d’utilisation open source. Cela sous-entend également que 63 % des répondants n’ont pas de politique d’acquisition ou d’utilisation open source, ou qu’ils ne savent pas s’il en existe une dans leur entreprise. Cela est assez étonnant dans la mesure où sur ces 63 % de fournisseurs de logiciels qui ont admis qu’ils n’ont pas de politique d’acquisition ou d’utilisation open source ou ne savent pas s’il en existe une au sein de leur entreprise, 43 % déclarent qu’ils contribuent à des projets open source.
Selon Jeff Luszcz, vice-président de la gestion des produits chez Flexera, « nous ne pouvons pas perdre de vue le fait que l’open source est en effet une victoire claire. Le code prêt à l’emploi permet d’obtenir des produits plus rapidement, ce qui est important compte tenu de la vitesse fulgurante de l’espace logiciel ». Mais l’homme ajoute cependant que « la plupart des ingénieurs logiciels ne suivent pas l’utilisation open source, et la plupart des responsables de logiciels ne réalisent pas qu’il existe un écart et un risque de sécurité/conformité ».
En continuant d’analyser les réponses obtenues, Flexera note que pour 39 % des répondants, soit il n’existe personne au sein de leur entreprise qui est responsable de la conformité open source – ou soit ils ne savent pas qui s’en occupe. Par ailleurs, sur les 400 représentants qui ont répondu aux questions, 33 % d’entre eux soutiennent que leurs entreprises contribuent à des projets open source.
À la lumière de ce sondage, Luszcz déclare que « les processus open source protègent les produits et la réputation de la marque. Mais la plupart des éditeurs de logiciels et d’IdO ne se rendent pas compte qu’il y a un problème, ainsi ils ne se protègent pas eux-mêmes et ne protègent pas leurs clients ». Pour Luszcz, « cela met en danger toute la chaîne d’approvisionnement du logiciel — pour les fournisseurs dont les produits sont exposés au risque de conformité et de vulnérabilité. Et aussi pour leurs clients qui ne savent probablement même pas qu’ils utilisent des logiciels open source et d’autres logiciels tiers, ou qu’ils peuvent contenir des vulnérabilités logicielles ».
Source : Rapport Flexera
Et vous ?
Quel est votre avis sur ce rapport ?
Le manque de suivi de la sécurité des logiciels open source décrié dans ce rapport reflète-t-il ce qui se fait dans les entreprises ?
Ou le rapport dépeint-il un portait surfait de la réalité concernant la sécurité liée à l’utilisation des logiciels open source ?
Voir aussi
Open source : de nombreuses applications héritent des failles des composants utilisés, les corrections de ces dernières se font en moyenne en 390 jours
Un chercheur remet en question la gestion des failles de sécurité des projets open source, et propose quelques bonnes pratiques
Les entreprises utilisent des logiciels open source sans suivre l'évolution de la sécurité de ces logiciels
Qui sont aussi ciblés par les pirates
Les entreprises utilisent des logiciels open source sans suivre l'évolution de la sécurité de ces logiciels
Qui sont aussi ciblés par les pirates
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !