Le secteur de l’open source gagne en popularité auprès des développeurs individuels et d’organisations majeures. Son intégration dans les solutions commerciales a fortement augmenté ces dernières années. Selon les chercheurs de Black Duck, cette omniprésence associée à une faible fréquence des audits de sécurité pourrait faire augmenter les attaques de 20 % cette année contre les solutions commerciales retardant l’intégration des patchs de sécurité.
Dans un article de CSO Online, les chercheurs en sécurité de Black Duck Software lancent une alerte claire. Le nombre de projets logiciels commerciaux composés de plus de 50 % de codes open source a décuplé, passant de 3 % du marché en 2011 à 33 % en 2017. Cette victoire de l’open source pourrait bien contenir une menace forte avec la multiplication de failles de sécurité offertes aux cybercriminels.
La plupart des produits commerciaux contiennent aujourd’hui des portions de codes open source. L’une des premières motivations à intégrer utiliser les standards des librairies open au sein de produits commerciaux reste la réduction des coûts de développement. Ainsi, selon Black Duck, l’application commerciale moyenne possède une centaine de composants open source.
Parmi ces applications, près de deux tiers sont susceptibles de contenir des vulnérabilités connues. Une des raisons principales réside dans l’absence d’audit de sécurité indépendant, lesquels peuvent faire littéralement exploser les coûts de développement. C’est un paradoxe du logiciel libre pointé du doigt par Black Duck : chacun pouvant auditer le code, l’ensemble des acteurs laisse aux autres le soin de s’en occuper !
Une autre observation des plus inquiétantes exposée par Black Duck est le retard pris par les produits commerciaux dans l’adoption des correctifs de sécurité. L’âge moyen d’une vulnérabilité dans un logiciel commercial est d’ailleurs estimé grossièrement à 5 ans par les experts de la société spécialiste de la sécurité logicielle. Pour exemple, l’équipe cite dans l’article le cas de la faille HeartBleed d’OpenSSL découverte, publiée et largement médiatisée en 2014. Près de 10 % des applications testées récemment contenaient toujours des éléments exposés à cette faille.
Les cybercriminels devenant particulièrement agiles pour sauter sur tous les nouveaux vecteurs d’attaque exploitant une faille de sécurité. Couplée à l’augmentation de la surface d’utilisation des solutions open source, cette agilité donne aux attaquants la possibilité de démultiplier une attaque sur de très nombreuses installations. Les entreprises peuvent être tout à fait prêtes à payer un produit plus cher pour éviter des problèmes de sécurité. Les certifications pourront être outils de lisibilité discriminant la fiabilité des solutions. Qu’en est-il cependant du public particulier ?