View in

Sécurité informatique : une nouvelle subtilité à propos des logiciels externes

16 octobre, 2019

Vous êtes programmeur ? Développeur de logiciels ? Vous codez régulièrement, ou même seulement de manière occasionnelle ? Alors vous profitez certainement de la pléthore d'éléments de logiciels, d'extraits de code, de bibliothèques et d'autres outils analogues circulant sur internet, sur Github, Stack Overflow, SourceForge, ou d'autres sites. Pratique, mais non sans risque : le code est-il sain ? Sans bugs ? Mis à jour ? Et est-il exempt d'éléments malveillants ?

Nous avons déjà évoqué il y a quelques mois les risques inhérents associés à toute utilisation de bibliothèques externes, et leur incidence sur la sécurité informatique du CERN (voir notre article du Bulletin « Dépendance à hauts risques »). En effet, nous avons découvert par le passé que plusieurs bibliothèques publiques ou open source contenaient des codes infectés dont le but était d'extraire des identifiants ou d'utiliser à leur avantage des ressources de calcul locales pour le minage de crypto-monnaies ou à d'autres fins malveillantes. Ces incidents prouvent que tous les services gratuits ne sont pas forcément bons à prendre ! Il convient donc d'utiliser les bibliothèques de logiciels et les éléments de code externes avec soin et prudence. Plusieurs outils d'analyse statique de code sont prévus à cette fin. Vous pouvez également utiliser un gestionnaire de dépôts de logiciels centralisé tel que Sonatype Nexus ou Apache Maven. Mais il existe encore d'autres risques.

Et si le code source dont vous dépendez est purement et simplement retiré de votre source ? Un développeur de logiciels a créé la surprise en décidant de retirer l'intégralité de son code de Github après avoir appris qu'il était utilisé par une agence des États-Unis dont il n'apprécie absolument pas le travail. Son logiciel, « Chef Sugar », est une bibliothèque Ruby qui vise à faciliter le travail avec « Chef », une plateforme pour la gestion des configurations. Le retrait de ce logiciel du domaine public a eu des répercussions négatives sur plusieurs clients de cette agence*. Et ceux-ci ne sont sans doute pas les seuls à avoir été touchés...

Prenons un autre exemple, celui des modifications apportées récemment aux conditions générales d'Oracle pour l'utilisation de Java JRE. Bien que le support technique soit toujours inclus dans le paquet logiciel Java, les mises à jour et le support pour le développement en interne pourraient n'être accessibles que moyennant un abonnement payant. Autrement dit, certains services qui auparavant étaient gratuits ne le sont plus. L'ensemble d'outils OpenJDK (pour la version 11 de Java) fourni et supporté par RedHat jusqu'en 2023 peut encore vous être utile dans certains cas de figure, mais il n'en va pas de même pour tous les autres logiciels.

Il faut donc vous interroger sur les risques qu'un tel scénario se produise dans votre cas. Disposez-vous d'une copie complète de l'intégralité du code source du logiciel ? Pouvez-vous le compiler librement et de manière indépendante ? Avez-vous évalué les répercussions d'une éventuelle suppression du lieu de publication original ? Faites-nous part de votre expérience en nous écrivant à l'adresse Computer.Security@cern.ch.

_________

*Vous pouvez lire l'histoire entière sur Slashdot.

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais uniquement). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.

Computer Security