« Les logiciels gratuits, c’est comme les chiots gratuits : ne vous attendez pas à ce qu’ils soient sans frais. » Tel serait le dicton que beaucoup adopteraient dans le monde quelque peu périlleux de l’open source. Au début de l’année, un développeur de chez Microsoft a mis au jour une tentative de sabotage digne d’un film d’espionnage. Une personne, surnommée JiaT75, avait insidieusement glissé une porte dérobée dans le code d’un utilitaire open source, XZ Utils, utilisé dans pratiquement tous les systèmes d’exploitation Linux.
Pour comprendre l’ampleur du plan machiavélique, il faut remonter deux ans en arrière, lorsque notre mystérieux JiaT75 a commencé à contribuer sur le projet GitHub d’XZ Utils. Un expert en cybersécurité a qualifié cette attaque de « scénario cauchemardesque » et de « meilleur exemple d’attaque par la chaîne d’approvisionnement que nous ayons vu. » Rien que ça !
Cette affaire est une piqûre de rappel que le logiciel open source, aussi omniprésent qu’il soit, peut être une source de vulnérabilités colossales. Elle se place fièrement aux côtés des célèbres failles de sécurité telles que Heartbleed, Shellshock, et Log4j. Frissons garantis pour les développeurs du monde entier.
La sécurité dans l’open source est cruciale mais nécessite de l’investissement et de la vigilance de tous.
Lors du TechCrunch Disrupt 2024, une réunion des esprits les plus éclairés a eu lieu afin de mettre en lumière les défis liés à la sécurité de l’open source. Bogomil Balkansky, un partenaire de Sequoia Capital, Malcolm Jenkins, Luis Villa de Tidelift, et Black de la CISA y ont exprimé leurs préoccupations et propositions. Pour Balkansky, l’open source est « vital » et en même temps, son modèle économique est « loin d’être parfait ». Cela vous rappelle le chiot, n’est-ce pas ?
Et alors, qui haussait les épaules face aux coûts liés à la sécurité ? Villa pense que les entreprises devraient payer les mainteneurs pour assurer la sécurité du code. Pendant ce temps, Black a expliqué comment la CISA s’engage dans le processus, découvrant le meilleur et le pire des pratiques de sécurité en matière de déploiement de logiciels open source. Vous l’avez deviné : pas de solutions magiques par ici !
Pour Balkansky, la réponse se trouve probablement dans l’open source lui-même : « La solution à la sécurité open source doit, en quelque sorte, être open source ». Une belle mise en abyme, n’est-ce pas ? Et Villa, en bon chef d’orchestre, souligne l’importance de plusieurs approches, construisant ainsi une superbe symphonie de sécurité multicouches.
Au final, Black appelle à une meilleure implication et coopération communautaire pour permettre à tous de sécuriser leurs logiciels avec moins d’effort, surtout les mainteneurs bénévoles. En somme, l’open source reste un formidable allocataire de responsabilités partagées, et il vaut mieux être prêt à donner du sien pour éviter que notre cher chiot ne transforme la maison en terrain de jeu.
Source : Techcrunch