1. Accueil
  2. Futur et Tech
  3. Numérique
  4. L’« open source », indispensable mais vulnérable racine du web

Futur et Tech

L’« open source », indispensable mais vulnérable racine du web

Sélection abonnés

Internet, et donc l’économie mondiale, reposent largement sur le travail patient et souvent bénévole de la communauté « open source ». Un système précaire produisant une sécurité qui l’est tout autant…

Elsa Ferreira
,

© DR

Le mois de décembre 2021 a été long pour les acteurs de la cybersécurité. Le 24 novembre, un expert chinois repère une vulnérabilité, baptisée Log4Shell.

La faille se niche dans la bibliothèque Log4j, un utilitaire « open source » (dont le code est librement accessible) et gratuit, développé par une organisation à but non lucratif, l’Apache Software Foundation. Log4j permet de tenir un journal automatisé des visites et est utilisé par des millions de sites, dont des géants comme la Nasa, Twitter, Apple ou Minecraft.

Avec des fondations fragilisées, c’est toute l’architecture du web qui vacille. Dans le jargon, on parle de « supply chain attack », qui cible les maillons les moins sécurisés de la chaîne logistique.

Un procédé populaire : selon le rapport annuel de l’entreprise spécialisée Synapse, ce type d’attaque a explosé de 650 % en juillet 2021, après une augmentation de 430 % en 2020.

Le réarmement de Google

Ce n’est pas la première fois que les fragilités du web sont révélées. En mars 2014, la vulnérabilité Heartbleed est découverte dans la bibliothèque de cryptographie « open source » OpenSSL : 17 % des serveurs sécurisés, soit environ un demi-million, sont touchés.