Les attaques contre les logiciels open source et commerciaux continueront d’augmenter en 2023, selon un nouveau rapport sur la chaîne d’approvisionnement des logiciels publié par un fournisseur de sécurité.
Cependant, les auteurs du rapport pensent également que les mesures de sécurité accrues que les développeurs prennent – en particulier sur les plateformes open source comme Github, NPM, RubyGems et PyPI – pourraient ralentir cette croissance.
Ces conclusions proviennent d’un rapport sur l’état de la sécurité de la chaîne d’approvisionnement publié lundi par ReversingLabs.
Pour combler les lacunes dans la surveillance et la détection des menaces et des attaques de la chaîne d’approvisionnement, les développeurs de logiciels doivent examiner les risques liés à l’open source et mieux coordonner le travail entre les équipes de développement et les centres d’opérations de sécurité (SOC), indique le rapport.
« Près de deux ans après la première diffusion du piratage de SolarWinds, les attaques de la chaîne d’approvisionnement logicielle n’ont montré aucun signe de ralentissement », notent les auteurs.
« Dans le secteur commercial, les attaques utilisant des modules open source malveillants continuent de se multiplier. Les entreprises ont connu une augmentation exponentielle des attaques sur la chaîne d’approvisionnement depuis 2020, et une augmentation plus lente mais toujours régulière en 2022. »
«Le référentiel open source populaire NPM, par exemple, a vu près de 7 000 téléchargements de packages malveillants de janvier à octobre 2022, soit une augmentation de près de 100 fois par rapport aux 75 packages malveillants découverts en 2020 et une augmentation de 40% par rapport à tous les packages découverts en 2021. »
« Le Python Package Index (PyPI) a également été inondé de modules open source corrompus conçus pour exploiter la crypto-monnaie et planter des logiciels malveillants, entre autres. »
Un certain nombre d’organisations de premier plan, dont Samsung et Toyota, se sont retrouvées gênées par des secrets révélés par le biais de référentiels open source maintenus en interne ou par des sous-traitants tiers, ajoute le rapport.
Les plateformes open source et les gouvernements ont réagi, note le rapport. Par exemple, aux États-Unis, de nouvelles directives fédérales visant à renforcer la sécurité de la chaîne d’approvisionnement sont entrées en vigueur. En septembre, un mémorandum du Bureau de la gestion et du budget exigeait que les éditeurs de logiciels attestent de la sécurité des logiciels et des services qu’ils concèdent aux agences exécutives.
En 2023, les éditeurs de logiciels avec des contrats fédéraux américains devront franchir des niveaux plus élevés pour la sécurité des logiciels afin de respecter les nouvelles directives, notamment en devant attester de la sécurité de leur code et, dans certains cas, produire une nomenclature logicielle qui fournit une feuille de route. pour traquer les menaces de la chaîne d’approvisionnement, indique le rapport.
« Étant donné que la menace d’attaques de la chaîne d’approvisionnement va au-delà des éditeurs qui vendent au gouvernement fédéral [américain], toutes les organisations qui développent des logiciels devront prendre des mesures similaires pour garder une longueur d’avance sur ces menaces », indique le rapport.
Pourtant, il y a de grands défis. Le rapport note que l’équipe de sécurité de GitHub a examiné et publié des avis pour près de 9 300 vulnérabilités dans les modules GitHub. Mais plus de 177 000 avis liés aux modules GitHub n’ont pas été examinés, dont beaucoup avec un rang « critique ». Ces avis, qui représentent 95 % du nombre total de vulnérabilités, ne sont pas connectés au service Dependabot de Github, donc aucun avertissement ne sera émis pour eux, note le rapport.
Le rapport souligne également que cette année, ce que l’on appelle les « logiciels de protestation » sont apparus, dans lesquels les responsables d’applications légitimes décident de transformer leur logiciel en arme au service d’une cause plus large. En janvier, par exemple, des applications en aval dépendant des bibliothèques NPM populaires appelées « colors.js » et « faker.js » ont vu leurs applications prises dans une boucle infinie, affichant « LIBERTY LIBERTY LIBERTY » suivi d’une séquence de charabia. L’incident était intentionnel – un acte de protestation du responsable « Squires » pour ce qu’il percevait comme une utilisation non rémunérée de ses bibliothèques par des entreprises à but lucratif.
Le rapport indique que les équipes de développement d’applications peuvent prendre quatre mesures pour lutter contre les risques croissants de la chaîne d’approvisionnement logicielle :
- Aller au-delà de la gestion des vulnérabilités et de la qualité du code pour englober les menaces croissantes de la chaîne d’approvisionnement telles que les logiciels malveillants, les initiés malveillants et d’autres compromis d’intégration continue qui peuvent entraîner des modifications de code non autorisées.
- Réunir les ingénieurs logiciels et les ingénieurs de sécurité pour coordonner leurs activités. Les centres d’opérations de sécurité doivent suivre les attaquants lorsqu’ils se déplacent vers la gauche, élargissant leur mandat pour englober la surveillance des menaces de la chaîne d’approvisionnement logicielle dans le cadre de leur surveillance globale des risques.
- Mettre davantage l’accent sur la recherche et l’élimination des risques liés à l’open source.
- Investir dans la chasse proactive aux menaces.
Adaptation et traduction française par Renaud Larue-Langlois.
