Malgré les différentes vulnérabilités découvertes au sein de la chaîne logistique des logiciels libres, les entreprises ne semblent pas se soucier des mises en garde. Les téléchargements de composants open source vulnérables connus ont augmenté de 120% en glissement annuel, selon un récent rapport de Sonatype.
Les vulnérabilités de la chaîne logistique des logiciels libres ont beau avoir doublé ces douze derniers mois, les entreprises continuent de s’en servir, selon un rapport de Sonatype publié mardi 25 septembre. Selon la société d’automatisation des logiciels, l’attaque contre Equifax grâce à un composant open source vulnérable, n’a pas eu d’impact dissuasif sur les adeptes de logiciels libres. Leur utilisation a augmenté de 120 % en glissement annuel dans les entreprises.
Logiciels libres ciblés par les hackers
« L’innovation est essentielle, la vitesse est rêne et l’open source est au centre », assure Sonatype. De nombreuses entreprises embauchent ainsi des développeurs utilisant des composants logiciels open source. Or, de nombreuses attaques informatiques ont pu être orchestrées parce que les cybercriminels avaient réussi intégrer des vulnérabilités dans la chaîne logistique des logiciels, précise Developpez.com.
En un an, le nombre de failles open source connues ou suspectées a augmenté de 55 %. Entre mars 2016 et mai 2018, onze attaques dans lesquelles un code malveillant avait infecté des chaînes de gestion logistique ont pu être comptabilisées. En janvier dernier, un package npm malveillant collectant les numéros des cartes de crédits sur des centaines de sites Web avait été signalé par Gilbertson.
Les téléchargements continuent
Problème : « les bases de données publiques de vulnérabilité manquent d’informations concernant plus de 1,3 million d’alertes de sécurité open source », détaille le rapport. Sur les 170 000 éléments open source téléchargés en moyenne par an, un composant sur huit est vulnérable. Plus alarmant, le composant au cœur de l’attaque contre Equifax est encore téléchargé 80 000 fois par mois par les entreprises.
Automatiser le cycle de développement des logiciels, analyser l’étendue des langages et des écosystèmes de développement et réglementer plus strictement les logiciels libres : autant de mesures qui permettraient, selon Sonatype, de réduire les risques de violation des composants logiciels.
