Les attaques contre les logiciels libres peuvent-elles être évitées ?

Pourquoi les attaques contre les logiciels open source échappent à la détection – et comment les arrêter

Les attaques ciblant les logiciels open source pourraient être évitées, mais elles ne le sont pas

Les menaces découlant de la chaîne logistique des logiciels ne montrent aucun signe de ralentissement. En 2023, la fréquence de ces attaques a multiplié par deux le nombre total combiné d'attaques observées entre 2019 et 2022.

La protection de la chaîne d'approvisionnement est d'une complexité notoire – mais pour quelles raisons, précisément ? Selon le rapport Annual State of the Software Supply Chain Report de Sonatype, 96 % des attaques exploitaient une vulnérabilité d'un logiciel open source pour lequel un correctif était déjà disponible, tandis que 4 % seulement des attaques étaient considérées comme « inévitables ». Compte tenu des nombreuses conséquences de la compromission des logiciels open source (par exemple, la collecte d'informations d'identification et la perte de données financières), pourquoi ces attaques « évitables » s'avèrent-elles encore si efficaces ?

Souvent, le véritable problème est celui de la visibilité ; la difficulté réside en effet dans le fait d'avoir accès à d'un système permettant de protéger correctement les suites de logiciels libres et d'identifier celles qui sont vulnérables. Et puisque le nombre de ces attaques continue d'augmenter rapidement, ce problème plus vaste devient plus important que jamais. Poursuivez votre lecture pour découvrir :

• Ce qui rend les suites de logiciels open source vulnérables à l'exploitation

• Pourquoi les entreprises négligent souvent les logiciels compromis, se mettant elles-mêmes en danger

• 4 bonnes pratiques pour éviter les vulnérabilités courantes des logiciels open source et réduire la probabilité d'une attaque
  

Pourquoi les attaques contre les logiciels open source sont-elles difficiles à arrêter ?

Garder une longueur d'avance sur les attaques ciblant les logiciels open source peut se révéler être un véritable défi pour les entreprises. Selon une estimation, en 2023, un téléchargement de composant open source sur huit présentait un risque de sécurité connu, sans omettre les plus de 200 millions de paquets malveillants détectés la même année.

Voici plusieurs raisons pour lesquelles ces attaques restent si fréquentes (et difficiles à éviter) :

Les attaques contre les logiciels open source sont conçues pour échapper à la détection

Au fur et à mesure de leur évolution, les attaques ciblant les logiciels open source échappent souvent aux mesures de sécurité communément déployées. Par exemple, une attaque qui ciblait un logiciel open source recourait à la fois à des scripts de pré-installation et des tactiques d'usurpation de l'identité de collaborateurs. L'objectif de cette attaque était d'installer des logiciels malveillants sur les systèmes de la cible (en l'occurrence, une banque). L'auteur de l'attaque a ensuite transmis une deuxième charge utile en utilisant un sous-domaine légitime, qui comprenait le nom de la banque ciblée et avait donc de meilleures chances de ne pas être repéré par les systèmes de sécurité.

Les acteurs malveillants emploient des méthodes sophistiquées pour éviter la détection ; par ailleurs, ils se désintéressent des systèmes et applications isolés et reportent désormais leur attention vers les points faibles des outils DevOps, des plateformes, des référentiels open source et des composants logiciels. Un exemple est le ciblage des scripts open source exécutés côté client, puisque la plupart des outils de sécurité des logiciels open source se concentrent sur le code côté serveur. Dans un cas d'utilisation de cette tactique, des chercheurs spécialistes de la sécurité ont découvert que les traqueurs JavaScript tiers intégrés dans les sites web utilisant la fonction « Se connecter avec Facebook » pouvaient être utilisés pour collecter les données de connexion à Facebook.

L'application de correctifs aux logiciels obsolètes ou incorrectement mis à jour demande davantage de temps

Différentes méthodes sont utilisées pour lancer des attaques ciblant les logiciels open source, qu'il s'agisse d'inciter les victimes à télécharger des packages malveillants ou de compromettre le déroulement de mises à jour logicielles. Et compte tenu du délai pendant lequel ces attaques peuvent échapper à la détection (parfois, pendant des semaines, voire des mois entiers), il est d'une extrême importance de corriger les vulnérabilités le plus rapidement possible.

Cependant, lorsque les entreprises utilisent des logiciels obsolètes ou incorrectement mis à jour, le déploiement de mises à jour critiques devient un processus laborieux et chronophage, susceptible d'accroître le risque de compromissions et d'attaques.

Dans quelle mesure ce problème peut-il être évité ? Selon le rapport publié par Sonatype en 2023, il existe environ « 10 versions supérieures [de composants logiciels] disponibles » pour chaque mise à niveau comportant un risque effectuée par les entreprises.

Les mises à jour de logiciels peuvent compromettre des packages jusqu'alors inoffensifs

Dans des cas encore plus insidieux, les mises à jour automatiques de logiciels sont compromises par des acteurs malveillants, et ce sont alors des utilisateurs peu méfiants qui déclenchent par inadvertance des actions malveillantes. Lors d'une attaque, quelque trois millions d'utilisateurs ont été ciblés par des mises à jour malveillantes de paquets Python et PHP qui tentaient de récupérer leurs informations d'identification AWS.

D'autres mises à jour malveillantes peuvent mettre des mois, voire des années, à s'exécuter, conférant aux utilisateurs un faux sentiment de sécurité, alors qu'ils ont déjà vérifié et autorisé certains logiciels – par exemple, le paquet npm dormant qui a tenté d'exfiltrer des clés privées Ethereum après huit mois d'inutilisation relative.

4 stratégies pour vous protéger contre les attaques ciblant les logiciels open source

Compte tenu de la prévalence et de la nature multidimensionnelle des attaques ciblant les logiciels libres, il est pratiquement impossible pour les entreprises d'appliquer les correctifs indispensables à chaque programme, de suivre chaque composant logiciel et de répertorier toutes les vulnérabilités potentielles dans leur environnement. Toutefois, les entreprises peuvent encore prendre plusieurs dispositions pour atténuer les principales menaces, notamment :

1. Utiliser des logiciels open source bénéficiant d'une maintenance active.

Le plus souvent, ce sont de mauvaises pratiques de validation qui ouvrent la porte aux risques et aux attaques ciblant les logiciels open source. Lorsqu'elles évaluent des logiciels et des projets open source, les entreprises doivent prendre les dispositions nécessaires afin de s'assurer qu'elles ne mettent pas simplement en œuvre la version la plus récente du logiciel, mais qu'elles prennent le temps d'évaluer si les vulnérabilités de ce logiciel font l'objet d'une analyse active et si des mises à jour sont effectuées en conséquence.

2. Identifier et appliquer des correctifs pour les vulnérabilités connues.

En 2023, plus de deux milliards de téléchargements de logiciels open source présentaient des vulnérabilités connues – et bénéficiaient également de correctifs disponibles. Bien que toutes les vulnérabilités ne soient pas exploitées par les acteurs malveillants, les entreprises doivent prendre des dispositions afin d'améliorer leur sécurité ; elles doivent évaluer les suites de logiciels open source dans leur environnement et appliquer des correctifs chaque fois que cela s'avère possible.

3. Identifier les principales vulnérabilités et prioriser les mises à jour critiques au sein des chaînes logistiques des logiciels.

La correction de toutes les vulnérabilités peut être un objectif irréaliste pour la plupart des entreprises ; en revanche, la priorisation des risques et des mises à niveau les plus critiques peut contribuer à atténuer les attaques susceptibles de provoquer les dommages les plus étendus.

4. Améliorer leur stratégie de sécurité globale en appliquant les bonnes pratiques en matière de sécurité Zero Trust, afin de limiter les risques et les dommages.

Un cadre de sécurité exhaustif tel que l'architecture Zero Trust peut contribuer à réduire la surface d'attaque d'une entreprise et à atténuer les risques liés aux vulnérabilités non corrigées des logiciels open source. Dans une architecture Zero Trust, aucune entité n'est considérée comme intrinsèquement fiable par défaut, et chaque requête transmise à chaque ressource fait l'objet de vérifications fondées sur l'identité et sur d'autres signaux contextuels. Cela signifie que même si un acteur malveillant compromet un équipement ou une composante de l'infrastructure, il lui sera très difficile d'effectuer un mouvement latéral ou d'élever ses privilèges au sein d'un environnement informatique. En outre, en étendant l'approche « ne pas faire confiance par défaut » à l'activité web, les entreprises peuvent isoler la navigation sur Internet et tenir les équipements à l'écart de tout code en ligne comportant un risque potentiel.

Comment Cloudflare aide à arrêter les attaques ciblant les logiciels open source

Pour se protéger contre les attaques modernes ciblant les logiciels open source, les entreprises doivent examiner et sécuriser chaque étape du cycle de développement des logiciels, mais également acquérir une connaissance approfondie des logiciels qu'elles adoptent : il s'agit d'abord d'identifier les correctifs critiques correspondant à des vulnérabilités précédemment identifiées, puis de hiérarchiser les risques les plus importants et d'effectuer des mises à niveau en conséquence.

Cloudflare est conçue pour aider les entreprises à conserver une longueur d'avance sur les menaces modernes et émergentes, notamment les attaques exploitant la chaîne logistique des logiciels, et à regagner le contrôle et la visibilité à tous les niveaux – sur les environnements informatiques dans leur globalité, sur l'ensemble du cycle de vie de l'attaque et dans le monde entier. Plus précisément, les entreprises peuvent adopter la plateforme unifiée et intelligente de Cloudflare afin de renforcer la sécurité dans des domaines critiques tels que :

• La découverte de scripts open source tiers, exécutés côté client, utilisés par les applications web

• La protection des applications web contre les exploitations de vulnérabilités des logiciels open source et l'exécution de scripts malveillants exécutés côté client

• L'amélioration de la visibilité et du contrôle des menaces sur l'ensemble du portefeuille numérique

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.

Approfondir le sujet

Téléchargez l'ebook Renforcez la sécurité partout où vous exercez une activité pour découvrir comment Cloudflare aide les entreprises à protéger leurs données contre les vulnérabilités des logiciels et leur exploitation.

Points clés

Cet article vous permettra de mieux comprendre les points suivants :

• En 2023, le nombre d'attaques reposant sur l'exploitation de la chaîne logistique a doublé par rapport aux 4 années précédentes réunies

• Pourquoi les entreprises ignorent les vulnérabilités critiques des logiciels open source

• 4 conseils pour minimiser les risques liés aux logiciels open source

Ressources associées

• Simplifier la façon dont nous protégeons les applications SaaS

• Roadmap pratique de l'architecture Zero Trust

• Infographie : les effets du code moderne, de l'IA et du cloud sur votre stratégie de protection des données

• Qu'est-ce qu'une solution de prévention des pertes de données ?