Les composants open source ne sont pas suffisamment mis à jour dans les apps réseau

le 04/06/2021, par Jon Gold / Network World (adaptation Jean Elyan), Sécurité, 929 mots

Les failles découvertes et corrigées par les équipes de projet open-source dans le code open-source des logiciels réseau commerciaux ne seront pas forcément adoptées dans les éditeurs. D'où l'intérêt de conférer contractuellement au fournisseur de service la responsabilité de l'analyse de la sécurité et de la résolution des problèmes.

Les composants open source ne sont pas suffisamment mis à jour dans les apps réseau

Á bien des égards, l'arrivée permanente de logiciels open source (Open Source Software, OSS) dans les services IT des entreprises est une formidable aubaine, tant pour les fournisseurs que pour les utilisateurs. Pour les premiers, la possibilité d'utiliser des composants open source permet d'éviter beaucoup de travail redondant. Ainsi, au lieu d'avoir à concevoir chaque partie d'un produit de surveillance et de capteurs IoT à partir de zéro, le fournisseur pourra par exemple adopter une bibliothèque open source bien comprise et bien supportée pour sa pile réseau, et se concentrer davantage sur les fonctions de détection et d'analyse des données qui différencieront son produit de celui de ses concurrents. Pour les utilisateurs finaux, l'un des principaux avantages est - du moins en théorie - l'amélioration de la sécurité, argument habituel pour l'adoption des logiciels open source. L'idée étant que la nature ouverte d'un logiciel - et le fait que tout le monde puisse l'examiner pour y découvrir et en corriger les failles de sécurité - implique qu'il sera généralement plus sûr que son équivalent propriétaire.

Mais, selon Mark Driver, vice-président de la recherche chez Gartner, cette affirmation n'est que partiellement vraie. Et il avance à ce sujet un point de vue inverse : le caractère open source peut nuire aux logiciels, en permettant à de mauvais acteurs d'ajouter des éléments au code principal. « La réalité se situe quelque part entre les deux, à savoir que les logiciels libres ne sont ni plus ni moins sûrs que les logiciels propriétaires », a-t-il ajouté. « Tout dépend de la façon dont est géré le projet ». La théorie selon laquelle les logiciels libres sont plus sûrs est valable, mais, en pratique, tout dépend de l'activité et de l'habileté d'un ensemble donné de contributeurs qui travaillent sur un projet particulier. Selon Dimitrios Pavlakis, analyste principal pour l'IoT et la cybersécurité chez ABI Research, il y a parfois une disparité entre les efforts de chasse aux bugs de la part des équipes de projets open source et le décorticage minutieux de ce même code par les mauvais acteurs. « Pour les communautés open source, la chasse aux bugs est un passe-temps, alors que pour les attaquants, c'est un moyen de gagner leur vie », a-t-il déclaré.

Maintenance difficile

Il est donc essentiel que les entreprises qui utilisent des logiciels comportant des composants open source s'interrogent sur la qualité du support de ces composants. Certains projets open source ne bénéficient pas de support professionnel, ce qui signifie que les personnes chargées de leur maintenance - si tant est que le code est maintenu - effectuent ce travail pendant leur temps libre. Et même si ces projets sont activement maintenus, il n'est pas garanti que les fournisseurs qui utilisent le code dans leurs logiciels commerciaux appliquent les correctifs en temps voulu. « Le problème le plus répandu avec les logiciels libres concerne l'insuffisance de gestion des actifs libres », a encore déclaré M. Driver. Les problèmes de sécurité peuvent être corrigés par les équipes de logiciels libres, mais cela ne signifie pas que le code est corrigé dans les produits qui l'incorporent. « Les gens le téléchargeront et l'utiliseront, mais ne reviendront pas en arrière pour vérifier les correctifs », a-t-il ajouté.

Que peut donc faire une entreprise responsable face aux vulnérabilités potentielles des logiciels libres dans ses piles logicielles ? Une partie de la réponse à cette question est technologique. Un logiciel capable d'analyser automatiquement une pile donnée pour y rechercher des composants open source et la comparer aux vulnérabilités CVE connues peut grandement aider les entreprises soucieuses de leur protection. Des fournisseurs comme Checkmarx, Vericode et Whitesource, entre autres, proposent des offres de ce type, généralement connues sous le nom d'analyse de la composition logicielle ou Software Composition Analysis (SCA). Ces outils permettent de faire l'inventaire des composants open source utilisés dans une application. Mais, selon Jim Mercer, directeur de la recherche chez IDC, il est également important de noter que les logiciels SCA n'offrent pas de solution complète. Certains logiciels open source ne seront utilisés qu'en partie, de sorte que les vulnérabilités présentes dans une partie inutilisée du projet ou de la bibliothèque, qui seraient tout de même repérées par un outil SCA automatisé, pourraient créer de faux positifs. « L'outil SCA donnera des priorités en fonction de la classification CVE de départ, mais tous les outils ne comprendront pas comment est utilisé le logiciel », a-t-il ajouté. « Ce qui signifie qu'il faudra l'examiner soi-même ».

Soignant le support

Dès lors, l'autre partie de la solution, et sans doute la plus importante pour les entreprises, est contractuelle, étant donné la difficulté de l'analyse manuelle et statique d'une pile logicielle complexe et l'impossibilité potentielle pour les ingénieurs internes de résoudre des problèmes de logiciels open source qu'ils ne connaissent pas forcément. En d'autres termes, les accords de niveau de service SLA qui confèrent au fournisseur la responsabilité de l'analyse de la sécurité et de la résolution des problèmes pourraient être le meilleur outil pour éviter les problèmes potentiels liés aux logiciels libres de l'entreprise. « La solution consiste à établir un accord de niveau de service qui soutient la valeur du processus commercial, quel qu'il soit », a encore déclaré M. Driver. « Et s'il s'agit d'un processus critique pour l'entreprise, mieux vaut un accord de niveau de service en béton ».

Traquer le cryptominage sur le réseau

Les malwares de minage de cryptomonnaie sont furtifs et réduisent les performances des réseaux et des terminaux. Mais certaines tâches simples et des outils de base peuvent minimiser leur impact. En raison du...

le 19/11/2021, par Susan Bradley, IDG NS (adaptation Jean Elyan), 1025 mots

Palo Alto renforce la sécurité de bout en bout du cloud d'entreprise

La dernière version 3.0 du pack de sécurité Prisma Cloud déployé par Palo Alto Networks comporte un courtier de sécurité d'accès au cloud CASB renforcé. Palo Alto Networks a renforcé son logiciel de sécurité...

le 18/11/2021, par Michael Conney, Network World (adapté par Jean Elyan), 977 mots

Nvidia s'implique dans le Zero Trust

En combinant des DPU BlueField avec son framework de sécurité IA Morpheus, Nvidia apporte sa brique à l'architecture Zero Trust. La plateforme Zero Trust annoncée par Nvidia est construite autour des unités de...

le 16/11/2021, par Andy Patrizio, Network World (adapté par Jean Elyan), 505 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...