Les entreprises dépendent de plus en plus des bibliothèques open source (OSL) afin de coder leurs logiciels et leurs sites.

Cependant, Jing Xie, senior theat intelligence researcher for machine identity protection leader Venafi, alerte que la dépendance croissante à l’égard des OSL pour le développement logiciel rend de nombreuses entreprises vulnérables aux attaques basées sur la confiance.

Profitant de la dépendance des organisations à l’égard des bibliothèques open source, les cybercriminels manipulent et insèrent du code dans les OSL tirant ainsi profit de la confiance placée en elles.

Les développeurs et les gestionnaires de sites peu méfiants introduisent alors activement des malwares dans leurs propres logiciels et sites quand ils utilisent des OSL compromis. 

Lorsque le code infecté est distribué par un développeur légitime, le logiciel malveillant qui en résulte sera automatiquement approuvé par les ordinateurs de ses utilisateurs infectant alors leurs ordinateurs et leurs réseaux.

Etant donné que les attaques basées sur la confiance peuvent infecter des millions d’ordinateurs très rapidement, il est essentiel que les entreprises prennent conscience des risques associés à la sécurité des OSL. D’après Xie, les OSL créent des risques pour les entreprises de quatre façons :

• Les malwares indétectables : la confiance implicite accordée aux OSL – qui ne sont que rarement modérées – signifie que les gestionnaires de sites et les développeurs choisissent et utilisent des bibliothèques infectées sans se rendre compte de l’ajout de malware.

• Les supply chain infectées : l’utilisation prolifique des OSL à travers les entreprises signifie que si une partie du code est infectée, par ricochet celle-ci peut se propager dans de multiples business. A partir du moment où une librairie infectée est utilisée, il est probable que l’ensemble de la supply chain de développement logiciel soit impactée par l’attaque.

• Un code semblant légitime : En plus d’insérer du code malveillant dans des OSL authentiques, les acteurs à l’origine de la menace créent et opèrent souvent leur propre OSL dévoyé. Avec le grand nombre d’OSL que les entreprises utilisent quotidiennement, il peut être difficile de savoir quel OSL et authentique et lequel ne l’est pas et les développeurs peuvent être dupés en les utilisant.

• Fuites massives de données : les cybercriminels peuvent tirer parti des logiciels insérés dans les OSL après leur incorporation dans des applications et des sites web pour créer des backdoors. 

Comme les backdoors ont été créées par des OSL de confiance, elles sont pratiquement indétectables. Cela permet de voler des données, espionner les utilisateurs et dissimuler un large éventail d’activités illicites.

« Il s’agit d’un problème bien réel et la récente étude menée par Sonatype a révélé une augmentation de 55% des failles résultant des attaques de confiance envers les OSL en 2018 » explique Xie. 

« Pour autant cela serait irréaliste de demander aux entreprises de complétement modifier leurs pratiques en limitant l’usage des OSL. Il faut plutôt travailler ensemble afin de rendre le code open source plus fiable. »

Venafi recommande que les développeurs et les gestionnaires utilisent des certificats Code Signing pour aider à déterminer quelles OSL sont fiables. Il s’agit d’une approche pragmatique pour valider l’authenticité d’une OSL.

« De plus, nous encourageons les organisations à tracker le code OSL en interne, à enregistrer les versions de la bibliothèque et à signaler tout problème », conclut Xie. 

« Ces étapes permettent aux utilisateurs d’OSL d’identifier rapidement les problèmes, de simplifier le processus de réparation et d’aider la communauté à établir un consensus sur les OSL qui sont les plus dignes de confiance. »

Plus d'info :

Blog: Is Your Software Supply Chain Vulnerable to OSSL Trust Attacks?
Blog: Code Signing Certificates: A Dark Web Best Seller
Blog: Crypto Mining, Code Signing Compromise: Are Your Certificates Safe?