L’« open source », indispensable mais vulnérable racine du web

Le mois de décembre 2021 a été long pour les acteurs de la cybersécurité. Le 24 novembre, un expert chinois repère une vulnérabilité, baptisée Log4Shell.

La faille se niche dans la bibliothèque Log4j, un utilitaire « open source » (dont le code est librement accessible) et gratuit, développé par une organisation à but non lucratif, l’Apache Software Foundation. Log4j permet de tenir un journal automatisé des visites et est utilisé par des millions de sites, dont des géants comme la Nasa, Twitter, Apple ou Minecraft.

Avec des fondations fragilisées, c’est toute l’architecture du web qui vacille. Dans le jargon, on parle de « supply chain attack », qui cible les maillons les moins sécurisés de la chaîne logistique.

Un procédé populaire : selon le rapport annuel de l’entreprise spécialisée Synapse, ce type d’attaque a explosé de 650 % en juillet 2021, après une augmentation de 430 % en 2020.

Le réarmement de Google

Ce n’est pas la première fois que les fragilités du web sont révélées. En mars 2014, la vulnérabilité Heartbleed est découverte dans la bibliothèque de cryptographie « open source » OpenSSL : 17 % des serveurs sécurisés, soit environ un demi-million, sont touchés.

En réaction, la Fondation Linux, soutenue par les géants Amazon, Google, Microsoft ou Intel, montent la Core Infrastructure Initiative, devenue Open Source Security Foundation (OpenSSF).

« C’est un peu le cirque », reconnaît Brian Behlendorf, directeur général de l’OpenSSF et acteur important du mouvement de l’« open source ». L’initiative, entièrement ouverte et dont les éléments de recherche sont publics, se compose de dizaines de groupes de travail.

Environ 70 volontaires, envoyés par les entreprises membres, s’affairent à mettre en place des bonnes pratiques ou développer des outils de mesure fiables pour évaluer la sécurité des programmes. « Nous ne sommes pas nombreux, mais nous avons touché environ 10 000 développeurs et leurs compagnies via les téléchargements », indique-t-il.

L’initiative bénéficie de 11 millions de dollars pour les frais de fonctionnement annuels – une goutte d’eau face aux 5,4 milliards de dollars déboursés par Google pour racheter Mandiant, un géant de la cybersécurité. Cela ne semble pas déranger le DG d’OpenSSF : « Nous ne pouvons pas être la seule réponse à la sécurité “open source”. »

À lire aussi > Google en sait-il plus que l’Insee sur les Français ?

En Europe, l’initiative Open Source Observatory (OSOR), pilotée par la Commission Européenne, réunit depuis 2012 plusieurs centaines de membres autour de ce sujet. Selon l’éditeur logiciel Synopsys, 98 % des programmes contiennent du code ouvert.

« Les logiciels “open source” font fonctionner internet et, par extension, l’économie », résume Filippo Valsorda, ingénieur logiciel à Google. En attendant, certains volontaires s’agacent. En janvier, un développeur a corrompu son propre code, impactant des milliers de projets.

Et de prévenir : « Je ne soutiendrai plus des Fortune 500 avec mon travail gratuit. » Voilà qui est dit.

Photo : Brian Behlendorf, directeur général de l'OpenSSF