Comment sécuriser son entreprise avec des logiciels Open Source ?
Chaque année, 370.000 logiciels Open Source sont téléchargés dans le monde. Le dernier rapport de Sonatype, appelé « State of the Software Supply Chain 2020 » a même identifié que 29% de ces logiciels possédaient des vulnérabilités, soit un tiers du marché actuel de l’Open Source. En 2021, le nombre d’attaques utilisant des vulnérabilités Open Source a augmenté de 650%
La plus importante et dernière en date concerne l’exploitation d’une vulnérabilité appelée Log4Shell. Cette vulnérabilité a été détectée dans le logiciel Log4Js, lui-même utilisé par le logiciel Apache, solution utilisée par des dizaines de milliers de site web.
Cet évènement a remis au centre des préoccupations les conditions d’utilisation des logiciels Open Source, les pratiques de maintenance et de financement.
#1 — Open Source, de quoi parle-t-on ?
Un logiciel Open Source, ou logiciel libre, est un programme informatique dont le code est publiquement accessible. N’importe qui peut y accéder, le modifier et en distribuer le code. L’Open Source existe depuis que l’informatique existe.
Le modèle de développement d’un logiciel Open Source est différent d’un logiciel propriétaire :
- Il se repose sur le travail bénévole de communautés de développpeur·ses, à maintenir le code du logiciel sans demander de contrepartie financière
- Il s’enrichit de manière collaborative, n’importe qui, tant qu’iel en a les compétences peut contribuer à améliorer le code
- Il est censé entièrement responsabiliser les utilisateur·rices, qui peuvent eux-mêmes l’exploiter comme iels le souhaitent
La fiabilité d’un logiciel Open Source est donc fortement associée aux développeur·ses qui le maintiennent. Les solutions les plus fiables, comme celles de Red Hat (1er éditeur mondial de solutions Open Source), sont gratuits pour les utilisateur·rices les plus débrouillard·es, payants pour celles et ceux qui souhaitent bénéficier d’un service similaire à une version propriétaire.
En dehors de ce modèle, la gratuité totale peut amener à des problématiques de mise à jour, sécurité, de performance, d’ergonomie…
#2 — Que renforce les dernières cyber actus des problématiques du Logiciel Libre ?
Depuis Log4Shell, on réalise que les risques cyber, qui ciblent les failles de l'Open Source, peuvent être subtiles mais ne sont pas inédites. Tels que l’exploitation de codes vulnérables, le sabotage de logiciels, le découragement des développeur·ses…
Les raisons sont diverses :
- Peu ou pas d’audit interne en amont ;
- Peu ou pas de vérification de la qualité du code ;
- Surcharge de travail des développeur·ses Open Source ;
- Maintenance peu réalisée après la mise en production …
90% des programmes informatiques existants utiliseraient des modules Open Source pour fonctionner. Cela sous-entend que la majorité des programmes du marché sont dépendants de leur fiabilité.
Du fait de cette dépendance, il y a un réel enjeu à valoriser l'Open Source d’une part, et d’autre part à renforcer les politiques de maintenance.
3 — Pourquoi financer les développements Open Source ?
Le développement Open Source n’est pas gratuit pour ses créateur·rices. Il demande du temps, souvent pris sur le temps libre de développeur·ses passionné·es. Pour en tirer profit, il est primordial de valoriser les communautés qui font vivre ce milieu, afin qu’iels aient les moyens de proposer des solutions plus fiables.
Les modèles de rémunération peuvent être divers :
- Recruter un·e développeur·se et/ou un expert en interne pour travailler sur la maintenance ;
- Rémunérer directement les développeur·ses Open Source, si iels proposent des services de maintenance ;
- Financer des programmes Open Source : collectifs, formation, entreprise spécialisée, initiatives gouvernementales...
Néanmoins, il faut garder en tête que l’Open Source ne fonctionne pas pour tout. Cela requiert un véritable questionnement sur la dépendance informatique et sur sa propre politique de maintenance, de sécurité.
4 — Mais du coup, doit-on arrêter d'exploiter les logiciels Open Source ?
Non ! L’Open Source contribue à l’enrichissement de l’informatique.
Il permet :
- d’accélérer l’innovation
- de maintenir l’accessibilité logiciel aux organisations plus modestes
- d’expérimenter des produits
Ce n’est pas le modèle d’organisation qui est à revoir, mais l’exploitation des logiciels.
Pour citer Sylvain Abélard, ingénieur logiciel chez Faveod : « Le soucis n’est pas les gratuit, c’est de mal exploiter le gratuit. »
Pour une meilleure exploitation des logiciels libres, il faut donc :
- Être en mesure de se responsabiliser, calibrer leur dépendance et investir davantage sur la maintenance, la sécurité
- Soit fournir des contreparties justes aux acteur·rices de l’Open Source
Ainsi, les organisations pourraient être en mesure d’entretenir un cercle vertueux. La traçabilité des développements contribueraient à la fois au maintien des valeurs de l’Open Source, mais aussi au maintien des organisations de ses exploitants.