Dans un monde idéal, tous les logiciels open source seraient révisés en permanence pour éviter les failles de sécurité. Mais la réalité est différente, à tel point que l’affaire a attiré l’attention du gouvernement américain : après une grave vulnérabilité dans Apache Log4j, la Maison Blanche a rencontré des entreprises technologiques pour résoudre le problème. Google est l’une des entreprises les plus engagées dans la cause.
Code source (image d’illustration : Chris Ried/Unsplash)
Le sujet mérite vraiment attention, après tout, les logiciels open source sont utilisés partout dans le monde, tant par des particuliers que par des organisations de différentes tailles. Vous en connaissez déjà les raisons : le caractère ouvert permet à ces projets d’être améliorés ou adaptés par toute partie intéressée ; ils sont gratuits et il est relativement facile de trouver du soutien auprès de la communauté.
Mais il y a un inconvénient : certains systèmes open source sont si populaires, en particulier sur Internet, que toute faille de sécurité identifiée peut provoquer une « panique généralisée ». Le cas de Log4j en est un bon exemple.
Contents
Log4Shell : la vulnérabilité de Log4j
Log4j est le nom d’un outil largement utilisé, principalement dans les systèmes en ligne. Il permet l’enregistrement d’événements de différents types dans le système. Un exemple simple : lorsque vous accédez à un site Web et rencontrez un message d’erreur 404, cette information peut être enregistrée dans un fichier journal par Log4j et, avec d’autres événements, analysée par un administrateur.
Log4j est open source et fait partie d’Apache Logging Services, un projet de l’Apache Software Foundation. C’est un outil tellement populaire qu’il est même présent dans les systèmes d’entreprises telles que Google, Microsoft et Twitter.
En décembre, l’image de Log4j a été affectée par la découverte d’une grave faille de sécurité. Identifié comme CVE-2022-44228 et appelé Log4Shell, le problème a laissé tellement de serveurs vulnérables qu’il a causé de la détresse aux équipes informatiques du monde entier et a attiré l’attention des autorités, en particulier aux États-Unis.
Log4Shell se manifeste dans une fonctionnalité qui permet à l’utilisateur de définir des messages personnalisés dans les fichiers journaux. Fondamentalement, cette faille permet à un code malveillant d’être exécuté à distance pour, entre autres actions, capturer des informations sensibles et propager des logiciels malveillants.
Il est possible de résoudre le problème. Cependant, il n’y a pas de solution unique pour Log4Shell car cela dépend de la façon dont Log4j a été installé et configuré. Cela signifie que des milliers de serveurs pourraient encore être vulnérables.
L’open source est devenu une question de “sécurité nationale”
Aussi sérieuse soit-elle, la vulnérabilité de Log4j a déclenché un voyant d’avertissement. Lors de la réunion tenue à la Maison Blanche jeudi (13), des représentants de géants tels que Google, Facebook, Microsoft, Amazon et Apple ont reconnu la nécessité de traiter la sécurité en open source avec plus de priorité, pour ainsi dire.
Le positionnement de Google attire l’attention. Dans son blog officiel, l’entreprise explique pourquoi l’affaire mérite qu’on s’y attarde :
Pendant longtemps, la communauté des logiciels s’est confortée dans l’idée que les logiciels open source sont généralement sûrs en raison de leur transparence et de l’hypothèse que « de nombreux yeux » surveillent et résolvent les problèmes. Mais le fait est que, alors que certains projets ont beaucoup d’yeux sur eux, d’autres n’en ont que peu ou pas du tout.
Apparemment, le gouvernement américain est d’accord avec cette perception. Lors de la réunion, Jake Sullivan, conseiller américain à la sécurité, a laissé entendre que l’affaire devait être traitée comme une “question clé de sécurité nationale”.
Que se passe-t-il désormais, alors ? Ce n’est pas clair. mauvais le fait que grandes technologies et le gouvernement des États-Unis lui-même à prêter attention à la question indique que des changements sont vraiment à venir.
La vérité est que beaucoup peut être fait pour le bien de la sécurité open source. Un soutien financier serait un bon début. Google apparaît, encore une fois, comme un exemple : l’entreprise affirme qu’en 2022, elle a consacré 100 millions de dollars américains pour soutenir des organisations de logiciels indépendantes, dont OpenSSF, qui s’occupe précisément de la sécurité open source.
