En mai 2021, bien avant la découverte de la vulnérabilité Log4j, le président Biden a publié un décret visant à améliorer la cybersécurité du pays. Entre autres choses, l'ordonnance exigeait que les agences du gouvernement fédéral renforcent leurs chaînes d'approvisionnement en logiciels en « assurant et attestant, dans la mesure du possible, de l'intégrité et de la provenance des logiciels open source ».Les vulnérabilités des logiciels open source ont conduit à certaines des failles de sécurité les plus graves. Le bogue Heartbleed, découvert en 2014, a affecté une bibliothèque de chiffrement open source appelée OpenSSL supposée être utilisée par deux serveurs sur trois sur le Web. Malgré son utilisation à grande échelle, la bibliothèque a été entretenue en grande partie par des bénévoles, comme ce fut le cas avec Log4j.
Les logiciels open source essentiels au fonctionnement d'entreprises technologiques très rentables peuvent encore avoir du mal à attirer des financements, un sujet qui a probablement été porté à la table des discussions jeudi à la Maison-Blanche où des dirigeants d'entreprises technologiques de premier plan, dont celui de Google, d'Apple et d'Amazon ont été invités pour discuter de la sécurité des logiciels après que les États-Unis ont subi plusieurs cyberattaques majeures l'année dernière.
Il y a quelques jours à peine, ce problème particulier est revenu au premier plan lorsqu'un développeur open source a intentionnellement corrompu deux bibliothèques JavaScript, affectant potentiellement des milliers de projets. Dans l'un des messages du développeur sur GitHub datant de novembre 2020, il déclare qu'il ne veut plus faire de travail gratuit. « Avec tout mon respect, je ne vais plus soutenir les Fortune 500 (et d'autres entreprises de plus petite taille) avec mon travail gratuit », disait-il. « Saisissez cela comme une opportunité de m'envoyer un contrat annuel à six chiffres ou de forker le projet et demander à quelqu'un d'autre de travailler dessus. »
En décembre, le conseiller à la sécurité nationale de la Maison-Blanche, Jake Sullivan, a envoyé une lettre aux directeurs généraux d'entreprises technologiques après la découverte d'une vulnérabilité de sécurité dans un logiciel open source appelé Log4j que les organisations du monde entier utilisent pour enregistrer des données dans leurs applications. Dans la lettre, Sullivan a noté qu'un tel logiciel open source est largement utilisé et maintenu par des bénévoles et est une « préoccupation majeure de sécurité nationale ». C'est ce qui a conduit à la réunion de jeudi à la Maison-Blanche.
Réunion qui a été organisée par Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes, dans laquelle des discussions au sujet des préoccupations concernant la sécurité des logiciels open source et de la manière dont elle peut être améliorée devaient être tenues, selon un communiqué de la Maison-Blanche.
Parmi les autres grandes entreprises technologiques présentes à la réunion, citons IBM, Microsoft Corp, Meta Platforms Inc qui détient Facebook et Oracle Corp. Des agences gouvernementales, notamment le Département de la sécurité intérieure, le Département de la défense et le Département du commerce, étaient également présentes.
La cybersécurité a été une priorité absolue pour l'administration Biden après plusieurs cyberattaques majeures l'année dernière, qui ont exposé des milliers de dossiers détenus par des entreprises et des agences gouvernementales à des pirates.
GitHub appelle à un plus grand soutien des mainteneurs de code open source
Écrivant sur le blog de l'entreprise de Github jeudi matin, le responsable de la sécurité Mike Hanley a décrit un paysage dans lequel les logiciels ouverts étaient largement utilisés, mais encore mal pris en charge en termes de ressources mises à la disposition des développeurs :
« Le monde fonctionne sur des logiciels, qui à leur tour reposent sur l'open source. En fait, 99 % des logiciels dans le monde ont au moins du code open source dans leur ADN, ce qui signifie que les applications et les programmes qui alimentent nos vies reflètent le travail acharné des développeurs open source. Cela signifie également que les vulnérabilités du code open source peuvent avoir un effet d'entraînement global sur les milliards de développeurs et de services qui en dépendent. En tant que plus grande plateforme de développement au monde, GitHub prend ces risques au sérieux et comprend sa responsabilité d'aider les millions de développeurs de notre plateforme à coder en toute sécurité. Dans le cadre de cette responsabilité, aujourd'hui, mon collègue Stormy Peters et moi-même sommes fiers de représenter GitHub au sommet sur la sécurité des logiciels open source de la Maison-Blanche pour partager comment la sécurisation de l'open source commence par l'autonomisation des développeurs.
« Il s'agit d'un rassemblement opportun à la lumière des événements de sécurité dont nous avons été témoins au cours de l'année écoulée, SolarWinds et Log4j fournissant des rappels clefs de l'importance de sécuriser le code critique. Nous avons vu comment une ou deux lignes de code vulnérable peuvent avoir un impact considérable sur la santé, la sécurité et la fiabilité de systèmes entiers en un clin d'œil. Et bien qu'il ne s'agisse pas d'un problème nouveau, comme nous l'avons vu avec Heartbleed, les événements récents ont encore souligné deux façons dont l'industrie technologique peut se rassembler et aider. Premièrement, il doit y avoir un effort collectif de l'industrie et de la communauté pour sécuriser la chaîne d'approvisionnement des logiciels. Deuxièmement, nous devons mieux soutenir les mainteneurs open source pour leur permettre de sécuriser plus facilement leurs projets.
« Alors, que fait GitHub pour saisir ces opportunités ? Comment pouvons-nous permettre aux développeurs du monde entier de créer plus facilement un code plus sécurisé ? Et comment l'industrie peut-elle améliorer la façon dont elle utilise et intègre en toute sécurité le code open source ?
« La mission de GitHub est d'être le foyer de tous les développeurs, et nous le faisons en offrant la meilleure expérience de développeur possible. Ce n'est pas différent en matière de sécurité. Les développeurs ne sont pas nécessairement des experts en sécurité - et ils ne devraient pas l'être - c'est pourquoi nous nous efforçons de leur permettre d'écrire plus facilement du code plus sécurisé et sans friction. Nos outils comme Dependabot et l'analyse de code avec CodeQL sont disponibles gratuitement pour l'open source et aident les mainteneurs à résoudre rapidement les problèmes de sécurité dans leur code et leurs dépendances. GitHub aide également les responsables à répondre aux vulnérabilités de sécurité lorsqu'elles sont découvertes. En fournissant un espace privé aux responsables pour discuter, corriger, obtenir un CVE et publier des informations sur les vulnérabilités, nous assurons une divulgation coordonnée des nouvelles vulnérabilités. Une fois divulguée, la base de données consultative GitHub fournit des métadonnées structurées sur chaque vulnérabilité sous une licence open source. En 2022, nous prévoyons d'étendre nos fonctionnalités de gestion des vulnérabilités pour les responsables afin d'inclure une option permettant de recevoir des divulgations privées des chercheurs en sécurité.
« En tant qu'industrie, nous devons également nous rassembler et soutenir les développeurs qui conçoivent, construisent et maintiennent les projets open source dont nous dépendons. En plus des outils, GitHub offre aux développeurs des moyens d'accéder à la formation et au financement pour les aider à mieux sécuriser les logiciels open source. Par exemple, pour les développeurs qui souhaitent en savoir plus sur la sécurité, le GitHub Security Lab propose une formation gratuite sur la sécurité et du matériel pédagogique aux développeurs sur des sujets tels que les outils (CodeQL, fuzzing), la programmation défensive et les meilleures pratiques de sécurité. De plus, depuis le lancement de GitHub Sponsors en 2019, nous avons vu des millions de dollars affluer vers des projets open source à travers le monde chaque année – et fin 2020, nous avons annoncé la possibilité pour les entreprises de contribuer financièrement aux projets dont elles dépendent. Alors que nous travaillons à déployer ce programme plus largement, nous voyons des sponsors aider financièrement les développeurs open source qui créent le logiciel le plus critique au monde ».
Google appelle à une nouvelle action gouvernementale pour protéger les projets de logiciels open source
À la suite du sommet sur la sécurité open source organisé jeudi à la Maison-Blanche, Google a appelé à une implication accrue du gouvernement dans l'identification et la sécurisation des projets de logiciels open source critiques. Dans un billet de blog publié peu de temps après le sommet, Kent Walker, président des affaires mondiales et directeur juridique de Google et Alphabet, a déclaré que la collaboration entre le gouvernement et le secteur privé était nécessaire pour le financement et la gestion open source :
« Les industries et les gouvernements ont fait des progrès pour s'attaquer aux problèmes de sécurité fréquents qui affligent les logiciels propriétaires hérités. La récente vulnérabilité du logiciel open source log4j montre que nous avons besoin de la même attention et du même engagement pour protéger les outils open source, qui sont tout aussi critiques.
« Le code du logiciel open source est disponible au public, gratuit pour que quiconque puisse l'utiliser, le modifier ou l'inspecter. Parce qu'il est disponible gratuitement, l'open source facilite l'innovation collaborative et le développement de nouvelles technologies pour aider à résoudre des problèmes partagés. C'est pourquoi de nombreux aspects des infrastructures critiques et des systèmes de sécurité nationale l'intègrent. Mais il n'y a pas d'allocation officielle de ressources et peu d'exigences ou de normes formelles pour maintenir la sécurité de ce code critique. En fait, la plupart du travail pour maintenir et améliorer la sécurité de l'open source, y compris la correction des vulnérabilités connues, est effectué sur une base ad hoc et volontaire.
« Pendant trop longtemps, la communauté du logiciel s'est réconfortée en supposant que les logiciels open source sont généralement sécurisés en raison de leur transparence et en supposant que "de nombreux yeux" surveillaient pour détecter et résoudre les problèmes. Mais en fait, alors que certains projets ont beaucoup d'yeux sur eux, d'autres en ont peu ou pas du tout.
« Chez Google, nous nous efforçons de mieux faire connaître l'état de la sécurité open source. Nous avons investi des millions dans le développement de frameworks et de nouveaux outils de protection. Nous avons également fourni des ressources financières à des groupes et à des individus travaillant à la sécurisation de projets open source fondamentaux comme Linux. L'année dernière encore, dans le cadre de notre engagement de 10 milliards de dollars pour faire progresser la cybersécurité, nous nous sommes engagés à étendre l'application de notre cadre de niveaux de chaîne d'approvisionnement pour les artefacts logiciels afin de protéger les principaux composants open source. Cela comprend 100 millions de dollars pour soutenir des organisations indépendantes, comme l'Open Source Security Foundation (OpenSSF), qui gèrent les priorités de sécurité open source et aident à corriger les vulnérabilités.
« Mais nous savons que davantage de travail est nécessaire dans l'ensemble de l'écosystème pour créer de nouveaux modèles de maintenance et de sécurisation des logiciels open source. Au cours de la réunion d'aujourd'hui, nous avons partagé une série de propositions sur la façon de procéder :
Établir des bases de référence en matière de sécurité, de maintenance et de test
« Le recours croissant à l'open source signifie qu'il est temps que l'industrie et le gouvernement se réunissent pour établir des normes de base en matière de sécurité, de maintenance, de provenance et de test, afin de garantir que l'infrastructure nationale et d'autres systèmes importants peuvent s'appuyer sur des projets open source. Ces normes doivent être élaborées dans le cadre d'un processus collaboratif, en mettant l'accent sur des mises à jour fréquentes, des tests continus et une intégrité vérifiée.
« Heureusement, la communauté du logiciel est bien lancée. Des organisations comme l'OpenSSF travaillent déjà dans l'ensemble de l'industrie pour créer ces normes (y compris des efforts de soutien comme notre cadre SLSA).
Accroître le soutien public et privé
« De nombreuses entreprises et organisations de premier plan ne reconnaissent pas combien de parties de leur infrastructure critique dépendent de l'open source. C'est pourquoi il est essentiel que nous voyions plus d'investissements publics et privés pour maintenir cet écosystème sain et sécurisé. Au cours de la discussion d'aujourd'hui, nous avons proposé de créer une organisation qui servirait de place de marché pour la maintenance open source, en associant des volontaires d'entreprises aux projets critiques qui ont le plus besoin de soutien. Google est prêt à contribuer des ressources à cet effort.
« Étant donné l'importance de l'infrastructure numérique dans nos vies, il est temps de commencer à y penser de la même manière que nous le faisons pour notre infrastructure physique. Le logiciel open source est un tissu conjonctif pour une grande partie du monde en ligne - il mérite la même attention et le même financement que nous accordons à nos routes et nos ponts. La réunion d'aujourd'hui à la Maison-Blanche était à la fois une reconnaissance du défi et une première étape importante pour le relever. Nous applaudissons les efforts du Conseil national de sécurité, du Bureau du directeur national de la cybersécurité et du DHS CISA pour mener une réponse concertée aux défis de la cybersécurité et nous sommes impatients de continuer à faire notre part pour soutenir ce travail ».
Conclusion
Le manque de financement et de ressources pour le développement open source a longtemps été évoqué comme un problème de sécurité et est réapparu comme un problème clef après la découverte d'un grave bogue dans la bibliothèque Java Log4j. La bibliothèque Log4j a également été développée et maintenue en grande partie par du travail non rémunéré.
Lorsque des projets open source reçoivent un financement, il provient généralement de sources privées telles que des dons individuels ou le parrainage d'entreprises technologiques. Google a récemment contribué à hauteur de 1 million de dollars au programme de récompenses Secure Open Source (SOS), un programme pilote géré par la Linux Foundation pour indemniser financièrement les développeurs travaillant à améliorer la sécurité des projets open source.
Sources : GitHub, Google, Secure Open Source (SOS)
Et vous ?
Quel regard portez-vous sur le dilemme moral et financier du développement open source ? Quel est, selon vous, le meilleur moyen de parvenir à un équilibre ? Que pensez-vous des propositions de GitHub et Google visant à apporter plus de soutien privé et public aux mainteneurs open source ?Voir aussi :
Un développeur open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets. Il avait précédemment demandé à être rémunéré pour son travail Log4j : la directrice du CISA s'attend à des retombées de la faille qui vont s'étendre sur des années et servir à des intrusions futures dans les systèmes des entreprises 
