En substance, Synopsis a passé 1100 bases de code à usage commercial au crible en 2017 et note que 96 % contiennent des composants ouverts ; le même pourcentage que celui de l’année précédente. La firme ajoute que désormais, plusieurs applications contiennent plus de composants open source que de code propriétaire. Dans les chiffres, le pourcentage de composants open source au sein des bases de code desdites applications a grimpé de 36 % en 2016 à 57 % en 2017.
Synopsis tire sur la sonnette d’alarme
En ajoutant que 78 % des bases de code examinées sont touchées par au moins une vulnérabilité connue et qu’on en dénombre 64 en moyenne par base de code, une augmentation de 134 % par rapport à l’année précédente. D’après la firme, ces chiffres collent avec ceux de la base de données américaine NVD qui, en 2017, a listé 14 700 failles de sécurité contre 6400 en 2016. « Les chiffres NVD font référence à tous les types de vulnérabilités connus, mais plus de 4800 de ces dernières affectaient des composants ouverts », lit-on.
Dans son rapport, la firme a classé plus de la moitié (54 %) des vulnérabilités identifiées comme étant à haut risque, c’est-à-dire, aisément exploitables. 17 % des failles identifiées ont fait l’objet de communication à grande échelle : Heartbleed, Logjam, FREAK, DROWN, POODLE. Logjam est la vulnérabilité la plus répandue avec 11 % de bases de code affectées. La faille dans Apache Struts 2 devenue célèbre avec le hack d’Equifax a elle aussi été retrouvée dans 33 % des bases de code faisant usage de Struts.
L’étude a porté sur des données tirées d’une large gamme de secteurs d’activité : cybersécurité, automobile, big data, services financiers, logiciels d’entreprise, santé, fabrication, marché des applications mobiles, Internet des objets (IoT), etc. L’Internet et les infrastructures logicielles engrangent le plus gros pourcentage de failles à haut risque (67 %). Les applications mobiles (60 %) et le gaming (50 %) complètent le podium.
La sécurité, point faible de l’open source ?
Le rapport de Synopsis se veut clair : « l’open source n’est ni plus sécurisé (ni moins) que le code propriétaire. » Toutefois, des chiffres du rapport sont révélateurs de certaines tares du modèle de sécurité de l’open source. « En moyenne, les failles identifiées dans l’audit sont vieilles de 6 ans », note Synopsis. « Il y a donc comme un manque de réactivité de la part de la communauté qui entraîne une accumulation des vulnérabilités au sein des bases de code », ajoute la firme.
Au-delà des risques liés à la sécurité lorsque les porteurs d’offres propriétaires décident d’intégrer des composants open source, il y a la problématique des licences. « Les composants ouverts sont gouvernés par plus de 2500 licences, chacune avec des obligations et des degrés divers de restrictions. Faillir à la mise en conformité avec ces dernières peut mener à des litiges et compromettre la propriété intellectuelle », note une fois de plus Synopsis.
Le point de la firme de recherche est que, dans un contexte où 80 % des cyberattaques ont lieu au niveau de la couche des applications, les porteurs de projet qui décident d’intégrer des composants ouverts gagneraient à avoir une bonne visibilité pour éviter les mauvaises surprises.
Source : Rapport (format PDF)
Et vous ?
« La vieillesse des failles » est-elle l’exclusivité de l’open source ? Qu’en est-il du code propriétaire ?
Comment mettez-vous la réactivité de la communauté open source en perspective avec ce qui se fait dans l’univers propriétaire ?
Voir aussi :
Open Source : que faire lorsque la documentation d'une bibliothèque est absente ? Comment gérez-vous des cas de ce type ?
Logiciel libre et open source : les deux concepts sont parfois utilisés de manière interchangeable , mais quelle est la différence ?
Microsoft publie en open source le code de File Manager, son gestionnaire de fichiers qui a été disponible en 1990 et en autorise les modifications