Archives par mot-clé : open source

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Google lance OSS Rebuild pour sécuriser la chaîne d’approvisionnement open source

L’open source représente aujourd’hui 77 % des applications et sa valeur mondiale excède 12 000 milliards de dollars (environ 11 130 milliards d’euros). Mais cette omniprésence en fait une cible privilégiée pour les attaques sur la chaîne d’approvisionnement, où des acteurs malveillants insèrent du code frauduleux dans des composants de confiance.

Les attaques sur la chaîne d’approvisionnement logicielle ciblent principalement les projets open source, au cœur de l’infrastructure numérique. Le phénomène a pris de l’ampleur au fil des années, notamment via la compromission d’outils et de modules largement utilisés dans la communauté mondiale des développeurs. L’attrait pour les composants open source s’explique par leur présence massive dans les applications, des systèmes d’exploitation aux services en ligne. Les statistiques confirment cette tendance : 77 % des applications intégrant du code open source et une valorisation de ces composants estimée à plus de 12 000 milliards de dollars (environ 11 130 milliards d’euros).

Parmi les incidents récents, plusieurs attaques retentissantes ont mis en évidence la vulnérabilité des chaînes d’approvisionnement. Dans un projet hébergé sur npm, la compromission d’un compte a permis l’ajout d’une porte dérobée destinée à dérober des clés cryptographiques. Un autre cas notable concerne l’introduction d’une action GitHub malveillante dans un dépôt populaire, provoquant la fuite de secrets. Enfin, l’attaque sophistiquée sur un projet d’archivage open source a permis l’implantation d’une porte dérobée assurant un accès distant non autorisé. Chacun de ces cas a eu un impact direct sur la confiance accordée aux écosystèmes logiciels, fragilisant à la fois la relation entre développeurs et utilisateurs et ralentissant l’innovation.

La popularité des solutions open source entraîne une diversification des techniques utilisées par les attaquants. Ceux-ci exploitent la complexité des chaînes de développement pour insérer des modifications malicieuses, parfois indétectables sans outils dédiés. Les mécanismes de contrôle traditionnels peinent à suivre le rythme et l’ampleur des évolutions, accentuant la nécessité de solutions innovantes pour restaurer la confiance.

Les conséquences de ces attaques vont au-delà de la simple compromission technique. Elles affectent la réputation des projets, l’adoption des nouvelles versions et la sécurité globale des services. Plusieurs plateformes de distribution de paquets ont déjà renforcé leurs contrôles, mais la question de la transparence du processus de compilation et de la traçabilité des modifications reste centrale.

Google présente OSS Rebuild pour restaurer la confiance

Face à ces enjeux, Google a développé un nouvel outil dédié à la transparence dans la chaîne d’approvisionnement logicielle : OSS Rebuild. Ce service propose de vérifier la correspondance entre le code source public et les paquets distribués, en s’appuyant sur des reconstructions automatisées. L’objectif affiché est de permettre à chaque membre de la communauté d’analyser l’origine des composants, de valider leur intégrité et de surveiller tout changement intervenu durant la phase de compilation.

OSS Rebuild s’inscrit dans une démarche de conformité avec les exigences de la Supply-chain Levels for Software Artifacts (SLSA), en particulier le niveau SLSA Build Level 3. Le service génère automatiquement les métadonnées associées aux processus de compilation, sans requérir l’intervention directe des auteurs des projets concernés. Cette automatisation vise à faciliter l’adoption de standards de sécurité élevés dans l’ensemble de l’écosystème open source.

Le fonctionnement du service est pensé pour répondre aux besoins de différents profils d’utilisateurs. Les spécialistes en sécurité disposent d’un accès à l’analyse détaillée des divergences éventuelles entre code et paquets. Ils peuvent ainsi identifier rapidement les incohérences, les défauts de configuration de l’environnement de compilation ou l’insertion de fonctionnalités cachées. De leur côté, les mainteneurs de projets peuvent enrichir l’historique de leurs publications en y associant des informations sur l’intégrité et la reproductibilité des versions.

Actuellement, OSS Rebuild prend en charge les paquets issus de trois grandes plateformes : PyPI pour Python, npm pour JavaScript et TypeScript, ainsi que Crates.io pour Rust. Cette compatibilité doit être progressivement étendue à d’autres environnements selon le calendrier annoncé par Google. L’accès à l’outil s’effectue via une interface en ligne de commande, permettant d’interroger l’origine d’un paquet, de consulter l’historique des reconstructions ou de lancer une recompilation à la demande.

Le recours à OSS Rebuild n’est pas limité aux seuls incidents de sécurité. Les analyses peuvent également porter sur des versions déjà publiées, offrant la possibilité de réévaluer l’intégrité de paquets antérieurs ou de vérifier la reproductibilité des versions historiques. Cette approche favorise la constitution d’une documentation exhaustive, essentielle à la gestion de la conformité et à la réponse aux exigences réglementaires croissantes.

La généralisation de ce type d’outils répond à une demande pressante du secteur, confronté à l’augmentation du nombre de vulnérabilités exploitées via la chaîne d’approvisionnement. Les grandes entreprises, tout comme les développeurs indépendants, sont encouragés à adopter ces pratiques pour garantir la sécurité de leurs dépendances et préserver la confiance des utilisateurs finaux.

À mesure que le périmètre de l’open source s’élargit, la protection de ses processus de développement revêt une importance stratégique. La mise à disposition d’outils tels qu’OSS Rebuild va-t-il contribuez à réduire les risques systémiques et à promouvoir des standards élevés dans la gestion de la chaîne d’approvisionnement logicielle ? Si la lutte contre les attaques sophistiquées requiert une vigilance constante, la transparence et la traçabilité apparaissent désormais comme des leviers majeurs pour pérenniser l’innovation dans l’univers du logiciel libre.

Communiqué de presse, IOT, Logiciels, Securite informatique

Un MOOC afin de mieux comprendre l’open source

2 commentaires

A l’occasion du Paris Open Source Summit 2018, l’Open Source School lance un MOOC de 28 chapitres, disponible gratuitement en ligne et sous licence libre, afin de mieux comprendre l’open source.

En effet, que ce soit par ses logiciels, ses méthodes de développement et d’organisation ou encore ses valeurs, le mouvement de l’open source est aujourd’hui devenu incontournable. Toutes les organisations, privées ou publiques, intègrent progressivement le meilleur de l’open source dans leur système d’information et dans leurs produits.

Si ce constat est unanime, il reste néanmoins encore certaines interrogations dans les entreprises quant aux mécanismes sous-jacents qui nécessitent de s’approprier un modèle de développement nouveau, un changement culturel important et une composante juridique et communautaire forte.

Pour le Groupe Société Générale, l’open source est un vecteur puissant pour innover

Les entreprises doivent monter en compétence sur le sujet pour être compétitives, mais aussi pour pouvoir suivre et s’adapter aux modèles déjà complètement intégrés par notamment les générations plus jeunes : communauté, valeurs, …

A titre d’exemple, au sein du Groupe Société Générale, les premières réflexions ont porté sur les politiques de contribution à l’open source, les stratégies de support des logiciels libres ou encore l’augmentation de l’empreinte open source. Cela a été jusqu’à l’implication du Comité Exécutif du groupe pour accélérer cette transformation et au cofinancement de ce MOOC.

« L’open source est un vecteur puissant pour innover, accélérer notre transformation digitale et attirer des talents. En 2020, nous visons 80 % de serveurs dans le cloud et 30 % de nos bases de données en open source  » indique Alain Voiment, Head of the Business Solutions Center et Sponsor open source, au sein du Groupe Société Générale

“Apprendre l’open source”

Ces différents éléments traduisent un besoin fort de monter en compétence au niveau interne pour chacun de ces acteurs et c’est notamment pour cela qu’a été financée la réalisation de ce MOOC, intitulé « Apprendre l’open source ».

Ce MOOC de 28 chapitres, présenté par Benjamin Jean – juriste de formation, spécialisé en propriété intellectuelle et fondateur du cabinet Inno³ – et réalisé par Elephorm pour le compte de l’Open Source School, présente les particularités de l’open source mais aussi les modèles de collaboration et les nouveaux usages tels que l’open data et l’innovation ouverte.

Il a pour ambition de participer à une plus grande connaissance des grands principes du modèle de l’open source et apporte un premier éclairage des subtilités économiques et juridiques sous-jacentes.

Diffusé sous licence Creative Commons CC BY-SA 4.0, son accès est libre et gratuit. L’Open Source School espère qu’il contribuera à diffuser les valeurs de l’open source et à lever les freins qui peuvent rester dans certaines entreprises et administrations.

Cybersécurité, Emploi, Entreprise, Linux, Mise à jour, Patch, Propriété Industrielle

L’open source : L’innovation et la sécurité par la transparence

Le contraste entre les logiciels propriétaires et open source est aussi vieux que l’industrie de l’informatique elle-même. Dans presque toutes les catégories, des logiciels sont disponibles soit auprès de fournisseurs qui développent et commercialisent eux-mêmes leur code, soit auprès de communautés de développeurs travaillant avec du code ouvert.

Au cours de la dernière décennie, l’aversion envers l’utilisation des logiciels libres, particulièrement dans les entreprises, a pris un tournant majeur. Les managers ont réalisé que si même les géants de l’informatique comme Facebook, Google et Amazon font appel à l’open source, les entreprises ordinaires devraient pouvoir le faire aussi. Les avantages de l’open source sont bien connus : les coûts inférieurs (à noter que coûts inférieurs ne veut pas forcément dire gratuits), la qualité supérieure et la sécurité qui découlent d’une grande communauté de développeurs et l’absence de dépendance à un fabricant sont des arguments de poids. Dans certains domaines, les produits open source sont déjà leaders de leur catégorie. Linux, Firefox et WordPress, par exemple, sont d’énormes réussites auprès des particuliers. MySQL, Apache, Free BSD, Zimbra et Alfresco se retrouvent fréquemment dans les environnements d’entreprise.

Toutefois, la distinction n’est pas aussi claire qu’on pourrait le penser : il n’est pas possible de diviser simplement les logiciels en catégories (ouvert ou fermé, libre ou non-libre, open source ou propriétaire). Il existe toutes sortes de sous-catégories, ce qui donne lieu à d’importantes différences dans les conditions de licence. Pour les entreprises, toutefois, il est pertinent de s’intéresser aux catégories de logiciels open source et propriétaires, et c’est la combinaison des deux, sous la forme de logiciels open source commerciaux, qui offre de fait le meilleur des deux mondes.

Un changement culturel global est en cours en faveur de l’open source. Par exemple, l’UE et le gouvernement des États-Unis investissent de grosses sommes d’argent pour augmenter leur utilisation de l’open source. Et au CERN (l’Organisation européenne pour la recherche nucléaire), qui a longtemps été un pionnier de l’informatique, les scientifiques sont encouragés à mener leurs recherches à l’aide de solutions libres de nouvelle génération. La tendance ne se limite plus désormais aux logiciels. Le « matériel libre » se répand : le Raspberry Pi, le Kano, l’Arudion, le MatchStick basé sur Firefox, le NAO et le Hummingboard sont tous des exemples démontrant le dynamisme des projets libres, qui font naître de nouvelles tendances comme l’Internet des Objets. Et pourtant l’open source n’est pas quelque chose de réellement nouveau. La plateforme informatique open source ultime reste le mainframe, qui était également le noyau de l’ordinateur personnel actuel et a donc toujours représenté une communauté open source considérable.

Des solutions open source commerciales : un système donnant-donnant

Le modèle de développement open source permet aux entreprises de prendre en charge leur projet avec des technologies adaptées, évolutives et un code ajusté à leurs exigences, et par là même de renvoyer l’ascenseur à la communauté. Dans les logiciels open source commerciaux, tout nouveau code passe par un processus strict d’assurance qualité pour garantir la sécurité des entreprises clientes et de leurs utilisateurs finaux. Les changements pouvant bénéficier à un ensemble plus large d’entreprises clientes sont contrôlés et la communauté les ajoute ensuite à son code de base. Pour pouvoir utiliser tous les avantages de l’open source, il faut une relation étroite avec un fournisseur de solutions open source commerciales. C’est essentiel pour promouvoir la créativité et les contributions au sein de la communauté. Les entreprises peuvent également fournir du code pour prendre en charge leurs activités. Les fournisseurs de solutions open source commerciales ne fournissent que l’assistance et le processus strict de développement du produit, comprenant les tests avec les bases de données, les conteneurs et l’assurance qualité qui font normalement partie du développement des logiciels propriétaires.

Des soucis de sécurité avec l’open source ? Au contraire !

Avec l’acceptation croissante des logiciels open source, les logiciels propriétaires purs perdent du terrain sur le marché. Beaucoup d’utilisateurs doutent de la souplesse des logiciels propriétaires dans les années à venir et beaucoup considèrent leur dépendance par rapport à leur fournisseur comme une restriction indésirable. Lorsqu’elles envisagent le futur des services numériques, qu’il s’agisse de ceux des entreprises ou des administrations, des entreprises comme Facebook et Google considèrent l’open source comme indispensable. La plupart des fournisseurs utilisent d’ailleurs déjà l’open source dans divers domaines de leurs opérations informatiques. Les solutions open source fournissent, en particulier, une plateforme pour une technologie prête à l’emploi pouvant être personnalisée pour différents produits. Néanmoins, malgré l’acceptation grandissante de l’open source, les entreprises gardent des inquiétudes à propos de leur fiabilité et de leur sécurité. Mais quels sont les arguments derrière ces inquiétudes ?

Le préjugé menant à penser que les logiciels open source ne sont pas sécurisés ne se vérifie absolument pas. Le réseau international de développeurs, d’architectes et d’experts de la communauté open source est de plus en plus reconnu en tant que ressource majeure. La communauté fournit un retour professionnel d’experts du secteur qui peuvent aider les entreprises à produire du code plus robuste, à créer des correctifs plus vite, et capables de développer des innovations et des améliorations à de nouveaux services. Dans un modèle propriétaire, la qualité du logiciel est limitée à celle du petit ensemble de développeurs qui y travaillent. Les entreprises qui font appel à des vendeurs tiers pour leurs logiciels propriétaires peuvent avoir un sentiment de sécurité plus fort, mais elles se bercent d’illusions : au nom de la propriété intellectuelle propriétaire, les éditeurs peuvent facilement empêcher leurs clients professionnels de savoir s’il existe des failles de sécurité dans leur code – jusqu’à ce que des pirates les exploitent. Nous avons vu récemment de nombreux exemples de ce fait, qui ont entraîné des problèmes pour de nombreux clients.

En raison du haut degré de transparence au sein de la communauté open source, le travail de ce réseau d’experts est d’une grande qualité ; ses membres attachent une importance extrême au maintien de leur réputation. Personne ne peut se permettre de mettre sa crédibilité en jeu lorsque toute la communauté peut voir le code publié sous son nom et le commenter. Par conséquent, les membres de la communauté soumettent tout code nouvellement compilé à un long travail de vérification avant de le publier. Cela devrait dissiper les craintes injustifiées concernant les failles de sécurité.

Une architecture ouverte et une évolutivité sans limite pour des solutions fiables

Les médias sociaux, le cloud, les big data, la mobilité, la virtualisation et l’Internet des Objets révolutionnent constamment l’informatique. Les technologies existantes peinent à suivre le rythme de ces changements. Les entreprises et les institutions doivent fournir leurs services sur de nombreux canaux tout en garantissant une sécurité totale des données. Avec des systèmes propriétaires rigides, cela est pratiquement impossible, et la communauté open source démontre tous les jours que les produits utilisant du code open source sont plus que prêts à gérer des services importants. Apache est déjà le numéro un. MySQL en prend le chemin ; tôt ou tard, il est très probable qu’OpenStack deviendra le logiciel de référence pour la gestion des centres informatiques et OpenAM est l’un des meilleurs produits pour les droits d’accès reposant sur les identités numériques. Les entreprises qui refusent d’utiliser l’open source courent le risque de prendre du retard sur l’étendue et la puissance des fonctions, et de ne pas être en mesure de proposer à leurs clients une expérience utilisateur numérique complète.

La réussite de l’open source se mesure par sa capacité à garantir un haut degré de sécurité et d’innovation. Si les logiciels développés de façon libre n’étaient pas sûrs, la sécurité et l’innovation ne seraient pas possibles. L’open source offre donc la sécurité grâce à sa transparence, ce que les logiciels propriétaires ne peuvent pas se permettre. Les entreprises feraient bien de garder un œil sur les solutions open source. (Par Ismet Geri, vice-président Europe du Sud chez ForgeRock)