147,9 millions de dollars : le prix pour des logiciels open source sécurisés

Alexandre Schmid
Publié le 17 mai 2022 à 17h30
© picjumbo_com / Pixabay
© picjumbo_com / Pixabay

Logiciels et codes open-source sont indispensables à l'écosystème informatique. Mais la mise à disposition gratuite de ces composants ne doit pas cacher le fait que des investissements en sécurité sont nécessaires.

Les solutions open source sont devenues la base de l'informatique et de la technologie. Elles permettent ainsi aux développeurs d'utiliser et de modifier du code afin de l'améliorer ou de cibler un besoin différent sans avoir besoin de partir de zéro. D'un individu seul pour un projet personnel aux plus grands groupes de la tech mondiale, tout le monde a recours à l'open source. L'exemple le plus frappant est sans doute Linux.

Sécuriser l'open source doit devenir un objectif primordial

À l'occasion de l'Open Source Software Security Summit II, qui s'est tenu à Washington DC, l'Open Source Security Foundation (OpenSSF) a tiré la sonnette d'alarme quant à la sécurité des écosystèmes open source, parfois repris par des milliers de projets et pouvant atteindre des millions d'utilisateurs finals.

L'OpenSSF propose ainsi un grand programme de chasse aux vulnérabilités au sein des logiciels open source. Pour ce faire, l'organisation estime qu'elle a besoin d'un financement à hauteur de 147,9 millions de dollars sur deux ans. Un premier tour de table a permis de réunir 30 millions de dollars. Les contributeurs sont des membres de l'OpenSSF, parmi lesquels on retrouve Amazon, Intel, VMware, Ericsson, Google et Microsoft.

« Aujourd'hui est l'une des premières fois que je vois un plan d'action avec des objectifs concrets », s'est félicité Jim Zemlin, de la Linux Foundation. Il ajoute avoir travaillé avec la communauté open source depuis deux décennies. Durant cette période, il a connu plusieurs cas où une vulnérabilité dans un composant open source a posé un « risque dramatique pour un large éventail de la société ».

Des composants open source dans tous les systèmes

L'open source est réputé fiable. En effet, comme le code est en libre accès pour tout le monde, n'importe qui peut l'analyser pour tenter de trouver des failles de sécurité et prévenir la communauté d'une vulnérabilité qu'il faut combler. Mais les pirates peuvent aussi effectuer ce travail et exploiter activement les failles qu'ils ont pu découvrir à des fins malveillantes.

Pour la Linux Foundation, une prise de conscience importante a été la vulnérabilité Heartbleed, présente dans la bibliothèque de cryptographie OpenSSL. Et depuis cette époque, les systèmes n'ont fait que se complexifier, avec, dans certains cas, des programmes composés d'une multitude de composants open source. D'où la nécessité croissante de sécuriser ces écosystèmes, alors que les attaques en ligne se font de plus en plus nombreuses.

Récemment, nous vous rapportions que des failles de sécurité touchaient de nombreux smartphones Android. Leur source était un ancien codec audio rendu open source et abandonné par Apple, mais toujours utilisé par Qualcomm et MediaTek dans la fabrication de leurs puces. Sans support depuis une dizaine d'années, ce composant open source n'était pas sécurisé, et les constructeurs ne l'ont pas réalisé, ce qui a rendu vulnérables des millions de terminaux mobiles.

Source : VentureBeat

Alexandre Schmid
Par Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (2)
TNZ

148 millions de $ est ce si cher par rapport à du logiciel propriétaire ayant des temps de correction très variables (laissant le slip sur les chevilles à des millions d’utilisateurs) ?

ChezDebarras

148 millions pour corriger log4j, c’est finalement assez cher.

Ah mais si 148 millions c’est pour l’ensemble des composants open source (log4j, spring, hibernate, blender, firefox, …) ça devient ridicule. Et des temps de correction qui deviennent très variables, c’est à dire selon dispo des développeurs bénévoles qui vont peut-être recevoir individuellement 148 dollars, une fois la cagnote partagée, les taxes et les « frais de gestion » déduites.