La découverte, fin 2021, de la vulnérabilité Log4j, a sensibilisé le monde de la sécurité aux risques de la maintenance des logiciels open source utilisés universellement. Dans la foulée du travail intense réalisé par les administrateurs et les RSSI pour repérer et corriger la faille Log4j lors des fêtes de fin d'année, la Maison-Blanche a organisé une réunion des leaders du secteur pour discuter de l'amélioration de la sécurité des logiciels open source. Signe de la forte volonté du secteur technologique, la Linux Foundation et l'Open Source Security Foundation (OpenSSF) ont annoncé le projet Alpha-Omega. Soutenu par un financement initial de 5 millions de dollars de Microsoft et de Google, ce projet vise à améliorer la sécurité de 10 000 projets de logiciels open source, par une recherche systématique de vulnérabilités non découvertes dans le code et une collaboration avec les responsables des projets pour les corriger. Les plus anciens se rappelleront que les mêmes sociétés avaient eu le même réflexe lors du bug Heartbleed dans OpenSSL avec le programme Core Initiative Infrastructure.

Alpha, pour les projets critiques, et Omega, pour la recherche de failles

Le volet Alpha du projet ciblera et évaluera les projets open source les plus critiques pour aider les entreprises à améliorer leur sécurité. Les projets seront sélectionnés sur la base des travaux du groupe « Sécurisation des projets critiques » (OpenSSF Securing Critical Projects) de l'Open-source Security Foundation, en s’appuyant sur les avis d'experts et sur des données, notamment le score de criticité de l'OpenSSF et l'analyse « Census » de Harvard identifiant les logiciels open source critiques. Pour ces projets, les membres de l'équipe Alpha, initialement composée de professionnels rémunérés sur le budget du projet, fourniront une aide sur mesure aux entreprises pour qu’elles comprennent et comblent les lacunes en matière de sécurité. L’aide peut consister, par exemple, en une modélisation des menaces, des tests de sécurité automatisés, des audits de code source et une assistance pour remédier aux vulnérabilités découvertes.

L'équipe Alpha assurera également le suivi d'une série d'indicateurs importants qui donnera aux parties prenante une meilleure compréhension de la sécurité du projet open source dont elles dépendent. En outre, l'équipe fournira une vue transparente et normalisée de la posture de sécurité du projet et de sa conformité aux meilleures pratiques de sécurité. Le volet Omega de l'initiative utilisera des méthodes et des outils automatisés pour identifier les vulnérabilités critiques dans au moins 10 000 projets open source largement déployés, en s’appuyant sur différents experts, technologies et processus. Omega disposera d'une équipe dédiée de développeurs qui ajusteront en permanence le pipeline d'analyse afin de réduire les taux de faux positifs et d'identifier de nouvelles vulnérabilités. Dans un premier temps, les initiatives Alpha et Omega travailleront avec un personnel rémunéré, mais les parties prenantes espèrent pouvoir s'appuyer sur un plus grand nombre de bénévoles.

Combler une lacune

« Nous avons réalisé qu’un ensemble de besoins n’étaient pas satisfaits, ce que l'appel lancé il y a quelques semaines par la Maison Blanche a vraiment mis en évidence », a déclaré Brian Behlendorf, directeur général de l'OpenSSF. Même si la faille Log 4j en été le véritable déclencheur, « la réunion a permis de s’interroger sur la manière dont la communauté open source écrit du code et sur les lieux les plus adaptés pour soutenir les meilleures interventions afin d’éviter un autre évènement de type Log4j. Et, si cela arrivait quand même, de savoir réagir de manière plus adéquate », a-t-il ajouté.

« Il faut deux choses pour répondre aux besoins de sécurité des logiciels open source : de meilleurs outils et une meilleure automatisation, à la fois pour déterminer la posture de sécurité d'un nombre massif de projets, mais aussi poser des questions, pour essayer de découvrir de nouveaux faits concernant ces projets », a encore déclaré Brian Behlendorf. « De plus, on ne peut pas se contenter d'un livre blanc de 300 pages expliquant à chacun comment gérer ses projets de logiciels open source, car chaque projet est différent », a ajouté M. Behlendorf. Ce dernier affirme qu'une approche plus pragmatique est nécessaire. « Certes, il faut pouvoir demander aux équipes du projet si elles ont effectué une modélisation des menaces, mais aussi leur proposer des pistes de réflexion ».

Une approche humaine pour sécuriser l'open source

Michael Scovetta, chef principal de projet sécurité chez Microsoft, a souligné l'importance de l’approche humaine du processus Alpha-Omega. Selon lui, le fait d'avoir des personnes engagées et collaboratives, est un élément essentiel des projets Alpha, les plus critiques. « Omega n’a rien, non plus, d’une machine qui exécute des outils et renvoie ensuite les résultats au développeur de logiciels open source », a-t-il expliqué. « Le développeur d’une solution entrant dans le volet Omega ne sera sollicité que si nous trouvons une vulnérabilité critique nécessitant son attention, et dans une certaine mesure, nous serons là pour l'aider à y remédier », a-t-il ajouté.

Michael Winser, chef de produit chez Google, a expliqué que, outre la correction des failles, l'élément éducatif qui accompagne ces corrections est un aspect primordial de l’initiative. « L'un des bénéfices, c’est que nous apprenons comment faire », a-t-il déclaré. « Toute l'industrie cherche encore quelle est la bonne position à adopter en matière de sécurité. Nous allons commencer à mettre à l'échelle notre approche et à en tirer des leçons, mais aussi à travailler avec d'autres départements de l'OpenSSF, d'autres groupes et fondations, et, bien évidemment, avec les mainteneurs de logiciels open source pour comprendre comment améliorer ensemble notre sécurité à l'échelle de l'industrie ». Il faudra attendre la réaction des mainteneurs dont certains réclament surtout une rémunération pour leur travail, de la part des grands acteurs de l’IT…

Une sécurité essentielle à la cybersécurité globale

Le projet Alpha-Omega reflète un sentiment de plus en plus répandu parmi les praticiens du secteur, à savoir que la sécurité des logiciels open source est essentielle à la cybersécurité globale. S'exprimant lors du premier Secure Software Summit qui s'est tenu la semaine dernière, Dan Lorenc, fondateur et CEO de Chainguard, a déclaré que « les logiciels open source font partie de la supply chain de chacun, qu'il le sache ou non. Il est donc capital d’appréhender la sécurité des logiciels opens source pour comprendre les problèmes plus généraux de sécurité de la supply chain auxquels nous sommes confrontés ».

Abhishek Arya, ingénieur principal et responsable de l'équipe de sécurité des logiciels open source de Google, a déclaré pour sa part : « Á mesure que de nouvelles vulnérabilités apparaissent, nous devons comprendre ces risques de sécurité et être mieux préparés à y faire face. Nous devons comprendre que les logiciels open source ne sont pas gratuits. Ils en ont l'apparence, mais ils ont un coût énorme en termes de sécurité. La plupart des logiciels open source sont développés par des bénévoles pendant leur temps libre, où la sécurité se retrouve souvent tout en bas de leur liste des priorités ».