Logo ETI Quitter la lecture facile
Sécurité informatique, logiciel open source

En ce moment

Les enjeux géopolitiques et économiques de l’Open source

Posté le par Philippe RICHARD dans Informatique et Numérique

L’open source est devenu un élément déterminant dans les processus d’innovation des entreprises du numérique. Bien que parfois victime de son succès, il souffre d’un manque de moyens dédiés à sa maintenance. La principale menace vient toutefois de l’implication de certains États et des Big Tech dans l’open source pour renforcer leur influence.

Peur sur le web ! En décembre 2021, la faille « Log4Shell » impacte le composant de logiciel de journalisation Log4J (qui enregistre les activités d’une application), utilisé dans de nombreuses applications et sites web utilisant le langage Java.

Au moment des faits, Log4Shell a été considéré comme « l’un des risques de cybersécurité les plus graves et les plus étendus jamais vus ». Les développeurs du projet ont corrigé l’erreur de code dans les deux semaines suivant l’identification de la faille. Encore faut-il que toutes les entreprises exploitant cette solution l’aient mise à jour…

Il s’agit d’une mesure indispensable, car cette vulnérabilité permet à un attaquant de prendre le contrôle d’une application, voire d’un système d’information. Plusieurs groupes d’attaquants, aussi bien étatiques ou proches d’États, opérant en Russie, en Chine, en Iran et en Corée du Nord, ainsi que des cybercriminels en ont profité.

Intitulé Enjeux économiques et géopolitiques des logiciels open source, le rapport de 62 pages de l’IFRI, rédigé par Alice Pannier (chercheuse et responsable du programme Géopolitique des technologies), montre à quel point l’open source occupe une place majeure dans le monde du numérique. La moindre faille peut faire trembler la planète.

Logiciels propriétaires et insécurité

Entre 80 % et 96 %, des codes qui composent les logiciels aujourd’hui sur le marché – y compris les logiciels propriétaires – sont en effet d’origine open source selon le 2022 Open Source Security and Risk Analysis Report. On peut citer les langages de programmation Python et Perl, le système d’exploitation Linux, le navigateur web Mozilla Firefox, le système de gestion de bases de données MySQL, le serveur HTTP Apache…

Parallèlement, l’opinion en faveur des logiciels propriétaires s’est dégradée ces dernières années pour différentes raisons : coûts de plus en plus élevés, abonnement à des formules Software as a service (comme Microsoft 365) qui s’avèrent de moins en moins attractives avec des augmentations de tarifs, ou un support client pas toujours optimisé…

Mais, surtout, les éditeurs de logiciels sont de plus en plus critiqués pour leur mauvaise gestion de la sécurité. Citons deux exemples très concrets et aux impacts majeurs. Le logiciel Orion, développé par SolarWinds (une société américaine développant des logiciels professionnels permettant la gestion centralisée des réseaux, des systèmes et de l’infrastructure) est utilisé par des milliers d’organisations aux États-Unis, dont l’administration américaine elle-même.

Or, Orion a été l’objet d’un code malveillant, révélé en décembre 2020, qui a permis aux attaquants d’accéder pendant de nombreux mois aux données, réseaux et systèmes concernés.

Le second exemple est encore plus inquiétant, car il porte sur l’IoT et l’aviation. Les accidents impliquant l’avion Boeing 737 MAX, en 2018 et 2019, ont ainsi été causés en partie par des erreurs dans les logiciels de l’appareil, après que le développement de ceux-ci a eu été sous-traité et non supervisé. « Ce type de problématiques de cybersécurité est amené à se multiplier avec les objets connectés, notamment dans l’automobile », prévient l’auteure du rapport.

L’Open source et l’influence internationale

L’open source est aujourd’hui intrinsèquement lié au cloud et joue un rôle déterminant dans les technologies émergentes (IA, edge, IoT). Résultat, il soulève des enjeux à la fois de cybersécurité et des enjeux économiques et d’innovation.

Les entreprises privées investissent financièrement et humainement dans le développement et le maintien de l’écosystème. Ce soutien est utile pour pallier les risques liés au manque de maintenance de certains composants. Ainsi Google a lancé un programme de bug bounty et propose 30 000 dollars à tout hacker découvrant une faille dans l’un de ses logiciels utilisant des briques open source.

Mais « cette implication n’est pas sans danger pour l’écosystème open source, qui est de plus en plus modelé par les intérêts privés des Big Tech. Parallèlement, les gouvernements sont de plus en plus préoccupés par les risques de l’open source en matière de cybersécurité, non seulement du fait de vulnérabilités accidentelles, mais aussi de la manipulation des codes par des criminels et des agents étrangers », insiste Alice Pannier.

« L’analyse des cas américain, chinois et européen montre que l’implication des gouvernements dans l’open source n’est pas seulement pragmatique ; elle est de plus en plus politisée et sert à soutenir les ambitions des gouvernements en matière de sécurité nationale, d’influence internationale ou de souveraineté numérique », insiste l’auteure.

En janvier 2022 s’est tenue à la Maison-Blanche une réunion de l’Administration américaine (ministères du Commerce, de la Défense, de l’Énergie, de la Sécurité intérieure) avec de grandes entreprises de la tech américaine (dont Amazon, Apple, Google, IBM, Meta, Microsoft) et des acteurs de l’open source (GitHub, Linux Foundation, OpenSSF), pour évoquer la sécurité de l’open source et son financement…

Pour aller plus loin

Posté le par Philippe RICHARD


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !