Les militaires américains veulent vérifier la sécurité des logiciels open source

Google et l'OpenSSF présentent un outil d'analyse des dépôts open source malveillants


 

Les informaticiens, même hors univers des logiciels libres, savent que derrière Internet et les technologies de l’information dans le monde, il y a du Libre, GNU/Linux et d’autres (d’où notamment l’acronyme LAMP pour Linux, Apache, MySQL ou MariaDB et PHP, Perl ou Python). Cette prépondérance des logiciels libres, après avoir alerté les GAFAM, inquiète maintenant les militaires US, rapporte Technology Review, la revue du MIT.

«La pierre angulaire de presque tout le cloud computing»

La revue du MIT écrit: [Les logiciels libres et open source] «c’est la pierre angulaire de presque tout le cloud computing, de pratiquement tous les supercalculateurs, de tout l’Internet des objets, de milliards de smartphones etc. Mais le noyau est également open source, ce qui signifie que n’importe qui peut écrire, lire et utiliser son code. Et cela inquiète sérieusement les experts en cybersécurité de l’armée américaine. Sa nature open source signifie que le noyau Linux, ainsi qu’une foule d’autres logiciels open source critiques, sont exposés à des manipulations hostiles de manières que nous comprenons à peine»

La revue cite Dave Aitel, chercheur en cybersécurité et ancien scientifique en sécurité informatique à la NSA: «Les gens s’en aperçoivent maintenant: eh, attendez une minute, littéralement tout ce que nous faisons est sous-tendu par Linux. C’est une technologie de base pour notre société. Ne pas comprendre la sécurité du noyau, cela signifie que nous ne pouvons pas sécuriser l’infrastructure critique.»

La Darpa (Defense Advanced Research Projects Agency), l’agence de recherche et développement de la Défense aux Etats-Unis, a en conséquence lancé SocialCyber – présentation de ce programme, qui semble remonter à 2020 et avoir une chronologie un peu floue puisque le MIT le présente comme un nouveau projet (ou est-il relancé après une pause prolongée?).

Disposant d’un budget «de plusieurs millions de dollars», indique sans précision Technology Review, ce projet « combinera la sociologue avec les récentes avancées technologiques de l’intelligence artificielle pour cartographier, comprendre et protéger ces communautés open source de masse et le code qu’elles créent. Le projet diffère de la plupart des recherches antérieures parce qu’il associe une analyse automatique à la fois du code et des dimensions sociales des logiciels open source. « L’écosystème open source est un des plus grands travaux de l’histoire de l’humanité », déclare Sergey Bratus, responsable du programme à la Darpa. « Il est maintenant passé de passionnés à une entreprise mondiale formant la base de l’infrastructure mondiale, de l’Internet même, des industries critiques et des systèmes critiques à peu près partout. Les systèmes qui font fonctionner notre industrie, les réseaux électriques, la navigation, les transports. »»

But ultime du projet, indique le MIT, «détecter et contrecarrer toute campagne malveillante visant à soumettre du code défectueux, à lancer des opérations d’influence, à saboter le développement ou même à prendre le contrôle de projets open source. Pour cela, les chercheurs utiliseront des outils tels que l’analyse des sentiments pour étudier les interactions sociales au sein des communautés open source telles que la liste de diffusion du noyau Linux, ce qui devrait aider à identifier qui est positif ou constructif et qui est négatif et destructeur.»

La Darpa travaille avec des entreprises sous-traitantes, dont l’une, Margin Research, basée à New York, étudie qui travaille sur quoi précisément dans les projets open source. Son fondateur Sophia d’Antoine relève que Huawei est actuellement le plus gros contributeur au noyau Linux, et «un autre contributeur travaille pour Positive Technologies, une société russe de cybersécurité qui – comme Huawei – a été sanctionnée par le gouvernement américain. Margin a aussi relevé la participation d’employés de la NSA à différents projets open source.

Commentaires sur Twitter de Sophia d’Antoine sur le projet de la Darpa: 

 Lire aussi





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.