🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

147,9 millions de dollars : le prix pour des logiciels open source sécurisés

17 mai 2022 à 17h30
2
open source
© picjumbo_com / Pixabay

Logiciels et codes open-source sont indispensables à l'écosystème informatique. Mais la mise à disposition gratuite de ces composants ne doit pas cacher le fait que des investissements en sécurité sont nécessaires.

Les solutions open source sont devenues la base de l'informatique et de la technologie. Elles permettent ainsi aux développeurs d'utiliser et de modifier du code afin de l'améliorer ou de cibler un besoin différent sans avoir besoin de partir de zéro. D'un individu seul pour un projet personnel aux plus grands groupes de la tech mondiale, tout le monde a recours à l'open source. L'exemple le plus frappant est sans doute Linux.

Sécuriser l'open source doit devenir un objectif primordial

À l'occasion de l'Open Source Software Security Summit II, qui s'est tenu à Washington DC, l'Open Source Security Foundation (OpenSSF) a tiré la sonnette d'alarme quant à la sécurité des écosystèmes open source, parfois repris par des milliers de projets et pouvant atteindre des millions d'utilisateurs finals.

L'OpenSSF propose ainsi un grand programme de chasse aux vulnérabilités au sein des logiciels open source. Pour ce faire, l'organisation estime qu'elle a besoin d'un financement à hauteur de 147,9 millions de dollars sur deux ans. Un premier tour de table a permis de réunir 30 millions de dollars. Les contributeurs sont des membres de l'OpenSSF, parmi lesquels on retrouve Amazon, Intel, VMware, Ericsson, Google et Microsoft.

« Aujourd'hui est l'une des premières fois que je vois un plan d'action avec des objectifs concrets », s'est félicité Jim Zemlin, de la Linux Foundation. Il ajoute avoir travaillé avec la communauté open source depuis deux décennies. Durant cette période, il a connu plusieurs cas où une vulnérabilité dans un composant open source a posé un « risque dramatique pour un large éventail de la société ».

Des composants open source dans tous les systèmes

L'open source est réputé fiable. En effet, comme le code est en libre accès pour tout le monde, n'importe qui peut l'analyser pour tenter de trouver des failles de sécurité et prévenir la communauté d'une vulnérabilité qu'il faut combler. Mais les pirates peuvent aussi effectuer ce travail et exploiter activement les failles qu'ils ont pu découvrir à des fins malveillantes.

Pour la Linux Foundation, une prise de conscience importante a été la vulnérabilité Heartbleed, présente dans la bibliothèque de cryptographie OpenSSL. Et depuis cette époque, les systèmes n'ont fait que se complexifier, avec, dans certains cas, des programmes composés d'une multitude de composants open source. D'où la nécessité croissante de sécuriser ces écosystèmes, alors que les attaques en ligne se font de plus en plus nombreuses.

Récemment, nous vous rapportions que des failles de sécurité touchaient de nombreux smartphones Android. Leur source était un ancien codec audio rendu open source et abandonné par Apple, mais toujours utilisé par Qualcomm et MediaTek dans la fabrication de leurs puces. Sans support depuis une dizaine d'années, ce composant open source n'était pas sécurisé, et les constructeurs ne l'ont pas réalisé, ce qui a rendu vulnérables des millions de terminaux mobiles.

Source : VentureBeat

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
TNZ
148 millions de $ est ce si cher par rapport à du logiciel propriétaire ayant des temps de correction très variables (laissant le slip sur les chevilles à des millions d’utilisateurs) ?
ChezDebarras
148 millions pour corriger log4j, c’est finalement assez cher.<br /> Ah mais si 148 millions c’est pour l’ensemble des composants open source (log4j, spring, hibernate, blender, firefox, …) ça devient ridicule. Et des temps de correction qui deviennent très variables, c’est à dire selon dispo des développeurs bénévoles qui vont peut-être recevoir individuellement 148 dollars, une fois la cagnote partagée, les taxes et les « frais de gestion » déduites.
Voir tous les messages sur le forum

Lectures liées

Quand Google fait la pluie et le beau temps sur le Web avec ses Core Updates
Le moteur Brave Search sort de bêta et vous laisse personnaliser les résultats
Le chiffrement du Cloud MEGA mis à mal par des chercheurs
Google Chrome 103 est disponible, découvrez les nouveautés
Attention, vos extensions Google Chrome permettent de vous traquer en ligne
Vie privée : bientôt des gestionnaires dédiés dans Windows et ChromeOS
Erreur serveur chez Cloudflare : Feedly, Discord et d'autres ne répondent plus
Pourquoi les entreprises ne migreront pas tout de suite vers Windows 11
Microsoft Defender débarque sur Windows, macOS, Android et iOS
Mettez Google Chrome à jour pour patcher ces 4 vulnérabilités importantes
Haut de page