La DARPA s’inquite de la fiabilit du code open source, il fonctionne sur tous les ordinateurs de la plante et assure le fonctionnement des infrastructures critiques, Selon Dave Aitel de la NSA

41 % des entreprises n'ont pas une grande confiance dans la scurit de leurs logiciels open source Leur utilisation gnralise entranant des risques importants



Alors que la DARPA, bras de recherche de l’arme amricaine, s’inquite de la fiabilit du code open source, et dit vouloir comprendre lcosystme technologique le plus important de la plante, certains analystes trouvent exagr de dire que, le code open source fonctionne sur tous les ordinateurs de la plante et assure le fonctionnement des infrastructures critiques.

Attendez une minute, littralement tout ce que nous faisons est sous-tendu par Linux , dclare Dave Aitel, chercheur en cyberscurit et ancien scientifique en scurit informatique de la NSA. Cest maintenant que les gens le ralisent , soutient-il. Il n’est pas exagr de dire que le monde entier est construit sur le noyau Linux, mme si la plupart des gens n’en ont jamais entendu parler.

Selon un nouveau rapport de la socit de scurit des dveloppeurs Snyk et de la Fondation Linux, 41 % des entreprises n’ont pas une grande confiance dans la scurit de leurs logiciels open source, leur utilisation gnralise entranant des risques importants. Une grande partie de la civilisation moderne dpend aujourd’hui d’un corpus toujours plus vaste du code open source, car il permet d’conomiser de l’argent, d’attirer des talents et de faciliter de nombreuses tches.

Les dveloppeurs de logiciels ont aujourd’hui leurs propres chanes d’approvisionnement. Au lieu d’assembler des pices de voiture, ils assemblent du code en patchant ensemble des composants open source existants avec leur code unique. Si cette situation entrane une augmentation de la productivit et de l’innovation, elle a galement cr des problmes de scurit importants , explique Matt Jarvis, directeur des relations avec les dveloppeurs chez Snyk.

Le noyau Linux est l’un des tout premiers programmes qui se chargent lorsque la plupart des ordinateurs sont allums. Il permet au matriel de la machine d’interagir avec le logiciel, rgit l’utilisation des ressources et constitue la base du systme d’exploitation. Il s’agit de la brique de base de la quasi-totalit du cloud computing, de pratiquement tous les superordinateurs, de l’ensemble de l’internet des objets, de milliards de smartphones, etc.

Mais le noyau est galement open source, ce qui signifie que tout le monde peut crire, lire et utiliser son code. Et cela inquite srieusement certains experts en cyberscurit. Sa nature open source signifie que le noyau Linux – ainsi qu’une foule d’autres logiciels critiques open source – est expos des manipulations hostiles d’une manire que nous comprenons encore peine.

Sil est vrai que c’est une technologie essentielle notre socit, il nen est pas moins vrai que, au vu de ce qui prcde, ne pas comprendre la scurit du noyau signifie que nous ne pouvons pas scuriser les infrastructures critiques. Aujourd’hui, la DARPA veut comprendre la collision du code et de la communaut qui fait fonctionner ces projets open source, afin de mieux comprendre les risques auxquels ils sont confronts.

L’objectif est de pouvoir reconnatre efficacement les acteurs malveillants et les empcher de perturber ou de corrompre un code open source d’une importance cruciale avant qu’il ne soit trop tard. Le programme SocialCyber de la DARPA est un projet de plusieurs millions de dollars, d’une dure de 18 mois, qui associera la sociologie aux rcentes avances technologiques en matire d’intelligence artificielle pour cartographier, comprendre et protger la grande communaut de logiciels libres et le code qu’elles crent.

Ce projet est diffrent de la plupart des recherches antrieures, car il combine l’analyse automatise du code et des dimensions sociales des logiciels libres.

Fonctionnement du programme SocialCyber

La DARPA a pass un contrat avec de multiples quipes de ce qu’elle appelle des excutants , notamment de petits ateliers de recherche en cyberscurit dots de comptences techniques approfondies. L’un de ces excutants est Margin Research, bas New York, qui a constitu une quipe de chercheurs trs respects pour cette tche. Margin Research se concentre sur le noyau Linux en partie parce qu’il est si grand et si critique que russir ici, cette chelle, signifie quil est possible de russir partout ailleurs.

L’objectif est d’analyser la fois le code et la communaut afin de visualiser et de comprendre enfin l’ensemble de l’cosystme. Le travail de Margin permet de dterminer qui travaille sur quelles parties spcifiques des projets de logiciels libres. Par exemple, Huawei est actuellement le plus grand contributeur au noyau Linux. Un autre contributeur travaille pour Positive Technologies, une entreprise russe de cyberscurit qui, comme Huawei, a t sanctionne par le gouvernement amricain, explique Aitel. Margin a galement cartographi du code crit par des employs de la NSA, dont beaucoup participent diffrents projets open source.

Ce sujet me fait frmir , dit d’Antoine propos de la qute pour mieux comprendre le mouvement open-source, parce que, honntement, mme les choses les plus simples semblent si nouvelles pour tant de personnes importantes. Le gouvernement vient tout juste de se rendre compte que nos infrastructures critiques utilisent un code qui pourrait tre littralement crit par des entits sanctionnes. En ce moment mme.

Ce type de recherche vise galement trouver le sous-investissement – c’est–dire les logiciels critiques excuts entirement par un ou deux volontaires. SocialCyber s’attaquera galement d’autres projets open source, comme Python qui est utilis dans un grand nombre de projets d’intelligence artificielle et d’apprentissage automatique , note le rapport. L’espoir est qu’une meilleure comprhension permettra de prvenir plus facilement une future catastrophe, qu’elle soit cause par une activit malveillante ou non.

Le dpartement de la Dfense des tats-Unis abrg par DoD a des dpendances critiques vis–vis des logiciels libres tout au long de sa chane d’approvisionnement, y compris les systmes d’exploitation, les systmes de virtualisation et les hyperviseurs, ainsi que les chanes d’outils pour le dveloppement de logiciels. L’utilisation de logiciels libres par le ministre de la Dfense permet de rduire les cots, d’amliorer la maintenabilit et d’attirer des dveloppeurs talentueux, mais elle cre galement une surface d’attaque sans prcdent, dans laquelle de nombreux lments et chemins logiciels fiables sont exposs des manipulations hostiles. Les manipulateurs peuvent tirer parti de l’ensemble des mcanismes sociaux et des incitations qui rendent l’cosystme sociotechnique du logiciel libre si prcieux.

L’arme amricaine veut comprendre le logiciel le plus important de la plante

L’cosystme des logiciels libres est l’une des plus grandes entreprises de l’histoire de l’humanit , explique Sergey Bratus, responsable du programme DARPA l’origine du projet. Il est pass du statut d’enthousiaste celui d’entreprise mondiale, formant la base de l’infrastructure mondiale, de l’Internet lui-mme, des industries critiques et des systmes essentiels la mission, un peu partout , ajoute-t-il. Les systmes qui font fonctionner notre industrie, les rseaux lectriques, la navigation, les transports .

Cependant, il existe de nombreux Menaces sur l’open source. En effet, si le mouvement open source a donn naissance un cosystme colossal dont nous dpendons tous, nous ne le comprenons pas entirement, affirment des experts comme Aitel. Il existe d’innombrables projets logiciels, des millions de lignes de code, de nombreuses listes de diffusion et de nombreux forums, ainsi qu’un ocan de contributeurs dont l’identit et la motivation sont souvent obscures, ce qui rend difficile de les tenir pour responsable.

Cela peut tre dangereux. Par exemple, des pirates ont discrtement insr du code malveillant dans des projets de logiciels libres de nombreuses reprises ces dernires annes. Des portes drobes peuvent longtemps chapper la dtection et, dans le pire des cas, des projets entiers ont t confis des acteurs malveillants qui profitent de la confiance que les gens placent dans les communauts et dans le code des logiciels libres. Parfois, les rseaux sociaux dont dpendent ces projets sont perturbs ou mme pris en charge. Le suivi de tout cela a t principalement – mais pas entirement – un effort manuel, ce qui signifie qu’il n’est pas la hauteur de la taille astronomique du problme.

Selon Bratus, nous avons besoin de l’apprentissage automatique pour digrer et comprendre l’univers en expansion du code. Ce qui implique des astuces utiles comme la dcouverte automatique de vulnrabilits ainsi que des outils pour comprendre la communaut des personnes qui crivent, corrigent, mettent en uvre et influencent ce code. L’objectif ultime est de dtecter et de contrer toute campagne malveillante visant soumettre du code dfectueux, lancer des oprations d’influence, saboter le dveloppement, voire prendre le contrle de projets open source.

Pour ce faire, les chercheurs utiliseront des outils tels que l’analyse des sentiments pour analyser les interactions sociales au sein des communauts open source telle que la liste de diffusion du noyau Linux, ce qui devrait permettre d’identifier qui est positif ou constructif et qui est ngatif et destructeur. Les chercheurs veulent savoir quels types d’vnements et de comportements peuvent perturber ou nuire aux communauts de logiciels libres, quels membres sont dignes de confiance et s’il existe des groupes particuliers qui justifient une vigilance accrue. Ces rponses sont ncessairement subjectives. Mais l’heure actuelle, il existe peu de moyens de les trouver.

Les experts s’inquitent du fait que les angles morts des personnes qui grent les logiciels libres rendent l’ensemble de l’difice propice aux manipulations et aux attaques potentielles. Pour Bratus, la principale menace est la perspective de voir un code non fiable grer les infrastructures critiques. Une situation qui pourrait rserver des fcheuses surprises.

L’opportunit SocialCyber de l’AIE vise explorer les capacits dtecter et contrer les oprations cybersociales qui peuvent cibler les communauts de dveloppeurs de logiciels libres. SocialCyber cherche explorer des mthodes hybrides qui combinent des analyses du code source, des artefacts de communication lis au dveloppement et des activits multimodales de mdias sociaux lies au dveloppement de logiciels libres afin de protger l’intgrit de l’infrastructure de logiciels libres essentielle au DoD.

Source : DARPA

Et vous ?

Quel est votre avis sur le sujet ?

Ne serait-il pas exagr de dire que les ordinateurs du monde entier sont construits sur le noyau Linux ?

Voir aussi :

41 % des entreprises n’ont pas une grande confiance dans la scurit de leurs logiciels open source, leur utilisation gnralise entranant des risques importants

La Maison Blanche, la Fondation Linux, OpenSSF et 37 entreprises technologiques ont annonc un plan de scurit des logiciels Open Source en 10 points, et un financement de 150 millions de dollars

Les vulnrabilits Open Source constituent des menaces pour la scurit : 85 % des bases de code utilisent des composants dpasss, et 88 % des composants qui ne sont pas de la dernire version

Les dveloppeurs Open source consacreraient moins de 3 % de leur temps la scurit, selon une nouvelle enqute de l’Open Source Security Foundation (OpenSSF) et du Laboratory for Innovation Science



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.