Les failles de sécurité des logiciels open source passent parfois sous les radars de la détection pendant plus de quatre ans. C’est l’une des conclusions phares du dernier rapport State of the Octoverse de la plateforme d’hébergement et de gestion de développement de logiciels – GitHub. Les logiciels open source permettent pourtant une consultation de leur code source (par tous) à l’inverse de leurs homologues à code source fermé. La réalité est que l’insuffisance de financement (qui entraîne une réduction en ressources humaines) constitue la plupart du temps un frein à la recherche et la découverte de ces vulnérabilités. Heartbleed par exemple est une vulnérabilité logicielle présente au sein de la bibliothèque de cryptographie OpenSSL à partir de mars 2012. Elle permet à un attaquant de lire la mémoire d’un serveur ou d’un client pour récupérer utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). La faille qui concerne de nombreux services Internet n’a été découverte qu’en mars 2014 et rendue publique en Avril 2014. Cela a donc laissé une fenêtre de deux années à des pirates informatiques pour s’en prendre à des milliers de serveurs.
La vulnérabilité se serait retrouvée par erreur dans le référentiel d’OpenSSL à la suite d’une proposition de correction de bogues et d’améliorations de fonctionnalités par un développeur bénévole. Les failles de ce type (introduites par erreur) comptent pour 83 % de celles découvertes sur des projets open source hébergés sur GitHub. Toutefois, le dernier rapport State of the Octoverse fait état de ce que 17 % sont des vulnérabilités introduites à dessein par des tiers malveillants. Ce sont des chiffres à compléter avec ceux d’un récent rapport Risksense qui lui souligne que les failles dans les logiciels open source ne cessent d’aller croissant. Les projets informatique s’appuient de plus en plus de l’open source ce qui explique un intérêt grandissant des pirates pour la sphère.
Le modèle de financement de la sphère open source est parmi les facteurs les plus susceptibles d’expliquer que les failles de sécurité au sein des logiciels passent sous les radars pendant des périodes aussi importantes. La Core Infrastructure Initiative (CII) est l’un des rares projets visant à financer et soutenir des projets de logiciels libres et open source qui sont essentiels pour le fonctionnement de l'Internet et d'autres grands systèmes d'information. Ce dernier a fait l’objet d’annonce suite à la vulnérabilité critique Heartbleed dans OpenSSL qui est utilisé sur des millions de sites web. Problème : la CII repose sur des apports d’acteurs bien établis dans l’univers des logiciels propriétaires. Facebook, VMWare, Microsoft, Comcast et Oracle (pour ne citer que ces entreprises là) financent financent la Linux Foundation et donc des projets comme la Core Infrastructure Initiative (CII). Cela leur confère des sièges aux différents conseils de décision et donc un certain contrôle sur ce qui se passe dans la sphère de l’open source. Bryan Lunduke – ancien membre du Conseil d’administration d’openSUSE – parle de cet état de choses avec plus de détails.
La conséquence immédiate est que les projets open source qui bénéficient de financement sont ceux sur lesquels leurs infrastructures s’appuient en majorité.
Source : State of the Octoverse
Et vous ?
Que pensez-vous de l’actuel modèle de financement de la sphère open source ? Êtes-vous d’accord avec l’idée selon laquelle c’est l’un des plus gros facteurs qui expliquent la présence de failles au sein de logiciels open source pendant de longue période ? Quelle comparaisons en la matière faites-vous avec les pratiques dans la sphère des logiciels propriétaires ? Voir aussi :
Open source : les projets de Microsoft attirent plus de contributeurs que ceux des autres organisations, d'après le rapport annuel de GitHub Personne, ni même Microsoft, ne peut prendre le contrôle à lui tout seul du projet Linux, a déclaré Linus Torvalds L'open source souffre-t-il d'un problème du « travail gratuit » ? Oui, selon Havoc Pennington Qu'advient-il du code open source après le décès du développeur ? Quelles solutions adopter pour éviter les problèmes liés à l'abandon du code ? 
Envoyé par sirthie
