Open Source Security (OpenSSF) et OpenJS Foundations lancent une alerte sur les prises de contrle de projets Open Source par ingnierie sociale
La rcente tentative de porte drobe XZ Utils (CVE-2024-3094) n’est peut-tre pas un incident isol, comme en tmoigne une tentative similaire de prise de contrle crdible intercepte par la Fondation OpenJS, qui hberge des projets JavaScript utiliss par des milliards de sites web dans le monde entier. Les fondations Open Source Security (OpenSSF) et OpenJS appellent tous les mainteneurs de logiciels open source tre attentifs aux tentatives de prise de contrle par ingnierie sociale, reconnatre les premiers modles de menace qui mergent et prendre des mesures pour protger leurs projets de logiciels open source.
chec d’une tentative de prise de contrle crdible
Le Cross Project Council de la Fondation OpenJS a reu une srie suspecte de courriels contenant des messages similaires, portant des noms diffrents et se recoupant avec des courriels associs GitHub. Ces courriels imploraient OpenJS de prendre des mesures pour mettre jour l’un de ses projets JavaScript populaires afin de « remdier toute vulnrabilit critique« , sans toutefois donner de prcisions. Le ou les auteurs des courriels souhaitaient qu’OpenJS les dsigne comme nouveaux responsables du projet, bien qu’ils n’aient t que trs peu impliqus auparavant. Cette approche ressemble fortement la manire dont « Jia Tan » s’est positionn dans la porte drobe XZ/liblzma.
Aucune de ces personnes n’a reu d’accs privilgi au projet hberg par OpenJS. Le projet a mis en place des politiques de scurit, y compris celles dfinies par le groupe de travail sur la scurit de la Fondation.
L’quipe d’OpenJS a galement identifi un schma suspect similaire dans deux autres projets JavaScript populaires qui ne sont pas hbergs par sa Fondation, et a immdiatement signal les problmes de scurit potentiels aux responsables respectifs d’OpenJS, ainsi qu’ l’Agence de scurit des infrastructures et de la cyberscurit (CISA) au sein du ministre de la scurit intrieure des tats-Unis (DHS).
Les projets open source accueillent toujours les contributions de n’importe qui, n’importe o, mais accorder quelqu’un un accs administratif au code source en tant que responsable ncessite un niveau plus lev de confiance mrite, et ce n’est pas donn comme une « solution rapide » n’importe quel problme.
En collaboration avec la Fondation Linux, OpenSSF souhaite sensibiliser tous les mainteneurs de logiciels open source cette menace permanente et offrir des conseils pratiques et des ressources provenant de la communaut d’experts en scurit et en logiciels open source.
Modles suspects dans les prises de contrle par ingnierie sociale
- Poursuite amicale mais agressive et persistante d’un responsable ou de son entit hberge (fondation ou entreprise) par des membres relativement inconnus de la communaut.
- Demande d’lvation au statut de mainteneur par des personnes nouvelles ou inconnues.
- Approbation par d’autres membres inconnus de la communaut qui peuvent galement utiliser de fausses identits, galement connues sous le nom de « sock puppets » (marionnettes).
- Les PR contenant des blobs comme artefacts. Par exemple, la porte drobe XZ tait un fichier astucieusement conu dans le cadre de la suite de tests qui n’tait pas lisible par l’homme, par opposition au code source.
- Code source intentionnellement obscurci ou difficile comprendre.
- Des problmes de scurit qui s’aggravent progressivement. Par exemple, le problme XZ a commenc par un remplacement relativement inoffensif de safe_fprintf() par fprintf() pour voir qui le remarquerait.
- Les carts par rapport aux pratiques habituelles de compilation, de construction et de dploiement des projets, qui pourraient permettre l’insertion de charges utiles malveillantes externes dans des blobs, des zips ou d’autres artefacts binaires.
- Un faux sentiment d’urgence, en particulier si l’urgence implicite oblige un responsable rduire la rigueur d’une revue ou contourner un contrle.
OpenSSF ajoute :
Ces attaques d’ingnierie sociale exploitent le sens du devoir des mainteneurs vis–vis de leur projet et de leur communaut afin de les manipuler. Soyez attentif ce que les interactions vous font ressentir. Les interactions qui suscitent le doute, le sentiment de ne pas tre la hauteur, de ne pas en faire assez pour le projet, etc. peuvent faire partie d’une attaque d’ingnierie sociale.
Les attaques d’ingnierie sociale telles que celles dont nous avons t tmoins avec XZ/liblzma ont t vites avec succs par la communaut OpenJS. Il est difficile de dtecter ces types d’attaques ou de s’en protger par programmation, car elles reposent sur une violation de la confiance par le biais de l’ingnierie sociale. court terme, le partage clair et transparent d’activits suspectes aidera les autres communauts rester vigilantes. S’assurer que nos mainteneurs sont bien soutenus est le principal moyen de dissuasion dont nous disposons contre ces attaques d’ingnierie sociale.
Mesures pour scuriser votre projet open source
Outre ces recommandations, il existe un certain nombre de bonnes pratiques en matire de scurit qui peuvent amliorer les proprits de scurit des projets open source. Bien que ces recommandations ne permettent pas de contrecarrer une attaque persistante d’ingnierie sociale, elles peuvent contribuer amliorer le niveau de scurit global de votre projet.
- Envisagez de suivre les meilleures pratiques de scurit standard de l’industrie, telles que les guides OpenSSF.
- Utilisez une authentification forte.
- Activez l’authentification deux facteurs (2FA) ou l’authentification multifactorielle (MFA).
- Utilisez un gestionnaire de mots de passe scuris.
- Conservez vos codes de rcupration dans un endroit sr, de prfrence hors ligne.
- Ne pas rutiliser les identifiants/mots de passe dans diffrents services.
- Disposer d’une politique de scurit comprenant un processus de « divulgation coordonne » pour les rapports.
- Utilisez les meilleures pratiques pour fusionner le nouveau code.
- Activez les protections de branches et les validations signes.
- Si possible, demander un second dveloppeur de procder une rvision du code avant de le fusionner, mme si le PR provient d’un mainteneur.
- Appliquer les exigences de lisibilit pour s’assurer que les nouveaux PR ne sont pas obscurcis et que l’utilisation de binaires opaques est minimise.
- Limitez les droits de publication de npm.
- Connaissez vos committers et mainteneurs, et faites un examen priodique. Les avez-vous vus lors des runions de votre groupe de travail ou les avez-vous rencontrs lors d’vnements, par exemple ?
- Si vous grez un dpt de paquets open source, envisagez d’adopter les Principes de scurit des dpts de paquets.
- Consultez le document « Avoiding social engineering and phishing attacks » de la CISA et/ou le document « What is ‘Social Engineering‘ » de l’ENISA.
Mesures prendre par l’industrie et les pouvoirs publics pour scuriser les infrastructures critiques open source
La pression exerce pour assurer la stabilit et la scurit d’un projet open source cre une pression sur les mainteneurs. Par exemple, de nombreux projets de l’cosystme JavaScript sont maintenus par de petites quipes ou des dveloppeurs uniques qui sont dbords par les entreprises commerciales qui dpendent de ces projets mens par la communaut mais qui ne contribuent que trs peu en retour.
Pour rsoudre un problme de cette ampleur, on a besoin de vastes ressources et d’une coordination internationale publique/prive. Les organisations suivantes ont dj accompli un travail considrable :
Les fondations open source
La famille des fondations de la Fondation Linux et d’autres organisations similaires comme OpenSSF peuvent contribuer fournir un filet de scurit pour les projets open source. Les responsables de la maintenance manquent souvent de temps, de personnel et d’expertise dans des domaines tels que la scurit. Les fondations neutres aident soutenir les activits commerciales, marketing, juridiques et oprationnelles de centaines de projets open source dont tant de gens dpendent.
OpenSFF dclare :
Notre objectif est d’liminer toute friction en dehors du codage afin de soutenir nos mainteneurs et d’aider leurs projets se dvelopper. En tant qu’organisations but non lucratif neutres vis–vis des fournisseurs, nous sommes particulirement bien placs pour offrir l’expertise des multiples parties prenantes reprsentes dans nos organisations.
En matire de scurit, nos fondations open source ont constat qu’une meilleure approche efficace consiste fournir une assistance technique et un soutien direct aux projets open source.
Alpha-Omega est un projet associ l’OpenSSF, financ par Microsoft, Google et Amazon, qui finance des projets et des cosystmes essentiels. Le projet vise construire un monde o les projets open source critiques sont scuriss et o les vulnrabilits de scurit sont trouves et corriges rapidement. L’OpenJS Foundation a pu constater que le financement des dveloppeurs pour la scurit a eu un impact avr grce aux investissements Alpha-Omega dans Node.js et jQuery.
Fonds technologique souverain
Le Fonds technologique souverain (Sovereign Tech Fund), financ par le ministre fdral allemand de l’conomie et de l’action climatique, fournit la fondation OpenJS et d’autres organisations open source un financement important pour renforcer l’infrastructure et la scurit.
Ils ont construit un modle avec des rapports dtaills et la responsabilit des ressources, tout en disposant d’une expertise technique pour personnaliser les propositions de scurit pour la varit des projets open source qu’ils financent.
Il est encourageant de voir le gouvernement allemand prendre cette initiative pour amliorer la vie des citoyens en investissant dans des infrastructures open source critiques par l’intermdiaire du Fonds technologique souverain.
OpenSSF commente :
Nous plaidons en faveur d’un accroissement de l’investissement public mondial dans des initiatives telles que le Fonds technologique souverain, afin d’investir dans des projets open source mondiaux dont la socit dpend, en complment des financements privs. Nous recommandons aux institutions publiques de s’inspirer du Fonds technologique souverain allemand, de l’adapter et de le coordonner afin de soutenir nos projets open source interconnects et nos conomies numriques partages.
propos de la Fondation OpenJS
La Fondation OpenJS s’engage soutenir la croissance saine de l’cosystme JavaScript et des technologies web en fournissant une organisation neutre pour hberger et soutenir les projets, ainsi que pour financer de manire collaborative des activits au profit de la communaut dans son ensemble. La fondation OpenJS est compose de 35 projets JavaScript open source, dont Appium, Electron, Jest, jQuery, Node.js et webpack, et est soutenue par des entreprises et des utilisateurs finaux membres, dont GoDaddy, Google, HeroDevs, IBM, Joyent, Microsoft et le Sovereign Tech Fund. Ces membres reconnaissent la nature interconnecte de l’cosystme JavaScript et l’importance de fournir un foyer central pour les projets qui reprsentent une valeur partage significative.
propos de l’OpenSSF
L’Open Source Security Foundation (OpenSSF) est une initiative interprofessionnelle de la Fondation Linux qui rassemble les initiatives de scurit open source les plus importantes de l’industrie, ainsi que les individus et les entreprises qui les soutiennent. L’OpenSSF s’engage collaborer et travailler en amont et avec les communauts existantes pour faire progresser la scurit open source pour tous.
propos des auteurs des recommandations :
Robin Bender Ginn est directrice excutive de la Fondation OpenJS, le foyer neutre charg de promouvoir l’adoption grande chelle et le dveloppement continu de JavaScript et de technologies web essentielles. Elle fait galement partie de l’quipe dirigeante de la Fondation Linux. Robin a dirig des initiatives majeures visant faire progresser les technologies open source, le dveloppement de la communaut et les normes ouvertes. Auparavant, Robin a pass plus de 10 ans chez Microsoft, o elle a t l’avant-garde de la transition de l’entreprise vers l’ouverture.
Omkhar Arasaratnam est le directeur gnral de l’Open Source Security Foundation (OpenSSF). Il est un vtran de la cyberscurit et de la gestion des risques techniques, avec plus de 25 ans d’exprience la tte d’organisations mondiales. Omkhar a commenc sa carrire en tant que fervent dfenseur des logiciels libres, en tant que mainteneur PPC64 pour Gentoo et contributeur au noyau Linux, et cet enthousiasme pour les logiciels libres perdure aujourd’hui. Avant de rejoindre l’OpenSSF, il a dirig des organisations de scurit et d’ingnierie dans des institutions financires et technologiques telles que Google, JPMorgan Chase, Credit Suisse, Deutsche Bank, TD Bank Group et IBM. En tant que leader technologique chevronn, il a rvolutionn l’efficacit de l’ingnierie logicielle scurise, de la conformit et des contrles de cyberscurit. Il est galement un auteur accompli et a contribu l’laboration de nombreuses normes internationales. Omkhar est galement membre du conseil consultatif du NYU Cyber Fellow et Senior Fellow du NYU Center for Cybersecurity, o il est invit donner des cours sur la cryptographie applique.
Source : OpenSSF
Et vous ?
Quel est votre avis sur le sujet ?
Pensez-vous que ces recommandations sont crdibles ou pertinentes ?
Voir aussi :