Les bibliothèques open source représentent une menace pour les entreprises 

Les entreprises dépendent de plus en plus des bibliothèques open source (OSL) afin de coder leurs logiciels et leurs sites. Cependant, Jing Xie, senior theat intelligence researcher for machine identity protection leader Venafi, alerte que la dépendance croissante à l’égard des OSL pour le développement logiciel rend de nombreuses entreprises vulnérables aux attaques basées sur la confiance.

Profitant de la dépendance des organisations à l’égard des bibliothèques open source, les cybercriminels manipulent et insèrent du code dans les OSL tirant ainsi profit de la confiance placée en elles. Les développeurs et les gestionnaires de sites peu méfiants introduisent alors activement des malwares dans leurs propres logiciels et sites quand ils utilisent des OSL compromis. Lorsque le code infecté est distribué par un développeur légitime, le logiciel malveillant qui en résulte sera automatiquement approuvé par les ordinateurs de ses utilisateurs infectant alors leurs ordinateurs et leurs réseaux.

Etant donné que les attaques basées sur la confiance peuvent infecter des millions d’ordinateurs très rapidement, il est essentiel que les entreprises prennent conscience des risques associés à la sécurité des OSL. D’après Xie, les OSL créent des risques pour les entreprises de quatre façons :

Les malwares indétectables : la confiance implicite accordée aux OSL – qui ne sont que rarement modérées – signifie que les gestionnaires de sites et les développeurs choisissent et utilisent des bibliothèques infectées sans se rendre compte de l’ajout de malware.

Les supply chain infectées : l’utilisation prolifique des OSL à travers les entreprises signifie que si une partie du code est infectée, par ricochet celle-ci peut se propager dans de multiples business. A partir du moment où une librairie infectée est utilisée, il est probable que l’ensemble de la supply chain de développement logiciel soit impactée par l’attaque.

Un code semblant légitime : En plus d’insérer du code malveillant dans des OSL authentiques, les acteurs à l’origine de la menace créent et opèrent souvent leur propre OSL dévoyé. Avec le grand nombre d’OSL que les entreprises utilisent quotidiennement, il peut être difficile de savoir quel OSL et authentique et lequel ne l’est pas et les développeurs peuvent être dupés en les utilisant.

Fuites massives de données : les cybercriminels peuvent tirer parti des logiciels insérés dans les OSL après leur incorporation dans des applications et des sites web pour créer des backdoors. Comme les backdoors ont été créées par des OSL de confiance, elles sont pratiquement indétectables. Cela permet de voler des données, espionner les utilisateurs et dissimuler un large éventail d’activités illicites.

« Il s’agit d’un problème bien réel et la récente étude menée par Sonatype a révélé une augmentation de 55% des failles résultant des attaques de confiance envers les OSL en 2018 » explique Xie. « Pour autant cela serait irréaliste de demander aux entreprises de complétement modifier leurs pratiques en limitant l’usage des OSL. Il faut plutôt travailler ensemble afin de rendre le code open source plus fiable. »

Venafi recommande que les développeurs et les gestionnaires utilisent des certificats Code Signing pour aider à déterminer quelles OSL sont fiables. Il s’agit d’une approche pragmatique pour valider l’authenticité d’une OSL. « De plus, nous encourageons les organisations à tracker le code OSL en interne, à enregistrer les versions de la bibliothèque et à signaler tout problème », conclut Xie. « Ces étapes permettent aux utilisateurs d’OSL d’identifier rapidement les problèmes, de simplifier le processus de réparation et d’aider la communauté à établir un consensus sur les OSL qui sont les plus dignes de confiance. »

A propos de Venafi

Venafi est le leader du marché de la cybersécurité en matière de protection de l’identité des machines, de sécurisation des connexions et des communications machine à machine. Venafi protège les types d’identité machine en orchestrant les clés cryptographiques et les certificats numériques pour SSL/TLS, IoT, mobile et SSH. Venafi fournit une visibilité globale des identités machine et des risques associés pour l’entreprise étendue – sur site, mobile, virtuel, cloud et IoT – à la vitesse et à l’échelle de la machine. Venafi met cette intelligence en action avec une remédiation automatisée qui réduit les risques de sécurité et de disponibilité liés à des identités de machines faibles ou compromises tout en sauvegardant le flux d’informations vers des machines de confiance et en empêchant la communication avec des machines qui ne sont pas fiables.

Avec plus de 30 brevets, Venafi fournit des solutions innovantes aux entreprises et organismes gouvernementaux du Global 5000 les plus exigeants et les plus soucieux de la sécurité, y compris les cinq premiers assureurs santé américains, les cinq premières compagnies aériennes américaines, quatre des cinq premières banques américaines, britanniques, australiennes et sud-africaines, et quatre des cinq premiers distributeurs américains. Venafi est soutenu par des investisseurs de premier plan, notamment TCV, Foundation Capital, Intel Capital, QuestMark Partners, Mercato Partners et NextEquity.

Quitter la version mobile