Sécurité de l’open source : bien plus qu’une histoire de financement
La vulnérabilité Log4Shell a non seulement mis sur le gril la sécurité de l’open source, mais également relancé le débat consacré à son financement, alors que les acteurs du secteur appellent de leurs vœux l’adoption du principe de responsabilité partagée.
« Log4Shell est un nouveau rappel que la relation entre les entreprises et l’écosystème open source est tout simplement brisée », déplorait sur Twitter Mike Milinkovich, président de la Fondation Eclipse, le 14 décembre 2021, en pleine crise liée aux vulnérabilités de Log4j2.
Mike Milinkovich réagissait en particulier aux nombreuses demandes des DSI auprès des fondations open source et des contributeurs souhaitant connaître le niveau d’utilisation de la librairie Log4j dans leurs projets. Pire, plusieurs de ces contributeurs ont reçu des demandes de la part des départements juridiques de certaines entreprises afin d’obtenir cette précieuse information.
« Ce sont des entreprises qui réalisent des milliards de chiffres d’affaires, qui n’ont jamais contribué à ces projets de quelque manière que ce soit », affirmait Mike Milinkovich, en colère. « Pas un seul commentaire, un seul patch, un seul dollar, ni même un merci. Et pourtant, quand ça merde [“when the shit hits the fan”, en VO], le logiciel est dit “stratégique” ou “infrastructure critique” ».
Rapidement, le fait que Log4j était maintenu par quelques personnes pendant leur temps libre, soutenues par trois sponsors, a été mis en avant par les commentateurs sur les réseaux sociaux et par des blogueurs.
« Lorsque l’on sait que la bibliothèque Log4j est développée et maintenue par quelques développeurs pendant leur temps libre, il est étonnant que les grands fournisseurs n’investissent pas plus de temps, d’efforts et d’autres ressources pour assurer la stabilité et la sécurité de ces paquets », affirme Bryan Vermeer, Developer Advocate chez Snyk.
Une professionnalisation croissante de l’open source
Cependant, il ne faut pas croire que des amateurs maintiennent dans l’ombre tous les services critiques, selon les cadres de la fondation Eclipse.
Gaël BlondelleVP, écosystème de développement, Fondation Eclipse
« Nous ne sommes pas alignés sur le discours qui consiste à dire que tous les problèmes que l’on a dans l’open source sont dus au fait qu’Internet repose sur trois volontaires travaillant dans leur garage au fin fond du Nebraska », tranche Gaël Blondelle, VP Ecosystème du développement chez la Fondation Eclipse. « Il y a tout de même beaucoup de personnes dans nos écosystèmes qui participent à des projets open source parce qu’ils sont payés pour le faire », remarque-t-il.
D’ailleurs, le niveau d’investissement dans la sécurité aurait augmenté depuis l’occurrence de certaines failles, selon le VP écosystème de développement.
« Je pense que [la vulnérabilité] Heartbleed, en particulier, a fait qu’un certain nombre de projets mal aimés ont bénéficié de ressources significatives. Il y a des choses à faire en matière de sécurité, mais aujourd’hui, l’écosystème open source y est quand même majoritairement professionnel », considère Gaël Blondelle.
Cette professionnalisation est largement due au fait qu’éditeurs et fournisseurs développent ou s’appuient sur des projets open source, rappelle le président de la Fondation Eclipse.
Ce n’est pas pour rien qu’en août 2021, Google a annoncé qu’il investirait 10 milliards de dollars au cours des cinq prochaines années « pour renforcer la cybersécurité, notamment en développant les programmes de zéro confiance, en aidant à sécuriser la chaîne d’approvisionnement des logiciels et en améliorant la sécurité des logiciels libres ». Une enveloppe de 100 millions de dollars ira directement dans la poche de fondations tierces, à l’instar d’OpenSSF, filiale de la Linux Foundation. La firme de Mountain View a également promis de former 100 000 citoyens américains dans différents domaines, dont la sécurité. Au même moment, Microsoft défendait un plan de 20 milliards de dollars sur cinq ans pour les mêmes raisons, en réponse à un rendez-vous avec le Président des États-Unis Joe Biden.
« De manière générale, je pense que les entreprises technologiques ont largement compris qu’elles devaient contribuer/supporter les projets dont elles dépendent. Ce n’est pas parfait, mais cela s’améliore certainement », disait Mike Milinkovich dans sa série de tweets.
Canonical et Red Hat font partie de ces entreprises qui ont construit leur activité sur la distribution, le support et l'amélioration de produits basés sur des projets open source.
« Ce que nous faisons chez Canonical, et ce que nous avons toujours fait depuis le début, c’est que nous reconnaissons que la structure économique [de l’open source] est importante et peut être considérée comme une mesure du succès », affirme Massimiliano Gori, Product Manager for Cybersecurity Compliance, chez Canonical. « Quand vous téléchargez Ubuntu, vous pouvez effectuer une donation qui ira directement à la communauté et à des projets communautaires. Nous ne sommes pas les seuls à faire ça : d’autres entreprises participent financièrement à l’open source de cette manière ».
« Chez Red Hat nous travaillons en symbiose avec les communautés et les entreprises », avance Nicolas Massé, Solution Architect chez Red Hat. « La symbiose c’est l’association étroite de deux ou plusieurs organismes différents, mutuellement bénéfique, voire indispensable à leur survie », définit-il. « Et c’est bien de cela qu’il s’agit : Red Hat travaille dans les communautés à construire des logiciels innovants et les apporte à ses clients sous une forme consommable par les entreprises. En échange, nos clients nous reversent des souscriptions qui contribuent à financer des postes de développeurs dans les communautés. Et cette boucle vertueuse prend de l’ampleur année après année », vante-t-il.
Massimiliano Gori note, tout de même, que l’écosystème du logiciel libre est plus divers que le laissent entendre les éditeurs et les fondations. « Ne faisons pas de généralisation. L’élément économique est important, mais différentes personnes contribuent à des projets ouverts pour différentes raisons. C’est la beauté de l’open source. Un étudiant qui souhaite participer à la conception d’un logiciel libre pour des besoins de recherche devrait être autant habilité qu’un développeur qui cherche à concevoir une solution open source à usage commercial », note-t-il pour nuancer le propos.
Cela n’empêche pas des débats, des confusions ou des disputes autour de certains projets open source. Le problème ne serait pas forcément les fonds alloués à l’open source, mais leur répartition inégale, selon Randall Degges, responsable de la relation avec les développeurs chez Snyk. « C’est un vrai problème. Les bibliothèques open source sur lesquelles les gens s’appuient ont souvent besoin d’être financées afin que les responsables aient suffisamment de temps à consacrer à la résolution des failles et à la garantie de la stabilité et de la sécurité de leurs applications », écrivait-il dans un billet de blog publié en décembre 2021. Dans le domaine de la sécurité, le Français Strangebee, éditeur du logiciel d’analyse theHive, a abandonné sa licence libre, car le nombre de contributions externes était trop faible, malgré le succès du projet.
Un appel au financement, à la contribution et à la collaboration
Et justement le fait que ce ne soit pas parfait semble un euphémisme. En matière de cybersécurité, les fondations considèrent désormais important de convaincre toutes les entreprises, et pas seulement les éditeurs, les fournisseurs, les équipementiers, les ESN, de contribuer au code ou de participer financièrement.
« Les entreprises n’ont toujours pas compris qu’avec la numérisation, elles sont aussi désormais des entreprises technologiques et que leur dépendance à l’open source est essentielle et doit être entretenue », ajoute Mike Milinkovich. « L’open source est gratuit comme l’adoption d’un chiot à la SPA est gratuite. Après, vous devez en prendre soin. (En VO : “open source is free as in free puppies. You need to care of it”.) ».
Mike MilinkovichPrésident, Fondation Eclipse
Après sa participation au sommet sur la sécurité de l’open source organisé par la Maison-Blanche en janvier 2022, l’Apache Software Foundation se fendait d’un commentaire en ce sens dans un billet de blog.
« L’ASF produit des logiciels pour le bien public. Nous nous engageons à travailler avec la communauté au sens large, y compris les consommateurs industriels et gouvernementaux de logiciels open source, pour trouver des moyens d’améliorer la sécurité tout en adhérant à “The Apache Way” », y écrit Joe Brockmeier, Vice-président Marketing et Publicité chez la Fondation Apache (et accessoirement directeur éditorial des blogs chez Red Hat).
Et à Gaël Blondelle d’ajouter que « dans ce contexte, les fondations ont un rôle majeur. Nous [la Fondation Eclipse] sommes une organisation à but non lucratif dont la mission est d’assurer la pérennité des projets dans un environnement favorable pour collaborer en matière de gestion du code, de formation et maintenant en matière d’administration de la sécurité ».
« Cela signifie que nous pensons que la voie à suivre nécessitera une collaboration en amont des entreprises et des organisations qui consomment et expédient des logiciels open source. Il n’y a pas de “solution miracle” unique pour y parvenir, et il faudra que toutes nos organisations travaillent ensemble pour améliorer la chaîne d’approvisionnement open source », recommande l’ASF.
Oui, mais comment ? Là non plus, pas de dispute.
« Si un projet est stratégique pour votre solution ou pour votre produit, vous devriez raisonnablement, en tant qu’organisation, financer ce projet directement ou indirectement pour limiter les risques », affirme Gaël Blondelle.
Gaël BlondelleVP écosystème de développement, Fondation Eclipse
« Cela peut se faire en attribuant un développeur, qui deviendra un contributeur au projet, en supportant financièrement les contributeurs ; cela peut être en devenant membre d’une fondation, par exemple la fondation Eclipse, afin qu’elle bénéficie de ressources qui permettent de mettre en place tous ces services pensés comme des “enablers” pour la communauté, liste-t-il.
« Je pense que c’est la bonne hygiène à avoir en tant que consommateur d’open source », note-t-il.
Bryan Vermeer ajoute : « je pense que les grandes entreprises devraient examiner de près les bibliothèques qu’elles utilisent réellement dans leurs logiciels commerciaux et contribuer à ces bibliothèques ».
En clair, avoir un pied dans les sphères du libre permet d’observer et de participer aux travaux de cybersécurité, mais aussi de s’assurer d’un pouvoir de décision sur l’évolution d’une solution commerciale déployée en interne.
Au-delà du financement de l’open source, la responsabilité partagée
Ce que veulent les éditeurs, les fournisseurs et les fondations open source, c’est clarifier le principe de responsabilité partagée. C’est ce principe que Nicolas Massé a déjà rappelé auprès du MagIT. Comme les mainteneurs d’un projet open source sont responsables de corriger les failles de leur code, les éditeurs et fournisseurs doivent reporter ces modifications dans leur distribution du ou des paquets concernés. Ensuite, c’est au client d’appliquer la mise à jour quand le contrat ne couvre pas cet aspect, disait-il en substance.
À titre d’exemple, voici son application chez AWS pour la sécurité. « AWS est responsable de la protection de l’infrastructure exécutant tous les services proposés dans le cloud AWS. Cette infrastructure est composée du matériel, des logiciels, du réseau et des installations exécutant les AWS Cloud services », lit-on dans sa documentation. « La responsabilité du client sera déterminée en fonction des AWS Cloud services que ce dernier choisit. Ces services détermineront le niveau de configuration que le client devra effectuer dans le cadre de sa responsabilité en matière de sécurité ».
Ce n’est pas un principe simple à mettre en place et il peut rapidement provoquer de l’urticaire au client de ces services. Même si des voix courroucées s’élèvent régulièrement du côté du CESIN et du Cigref, au vu de l’adoption généralisée du cloud, les entreprises l’acceptent bon an, mal an. Alors, pourquoi ne pas faire de même pour les logiciels et dépendances open source ? C’est en tout cas au nom de la responsabilité partagée que VMware veut s’engager auprès du gouvernement américain, ses agences, les acteurs du secteur open source et les contributeurs pour tenter de renforcer la sécurité des logiciels libres, peut-on lire dans un communiqué daté du 18 janvier 2022.
C’est cette même notion que défendait Mårten Mickos, CEO de HackerOne, dès 2018 lors de la conférence Open Source Leadership Summit organisée par la Fondation Linux.
« Beaucoup d’entre nous ici ont joyeusement développé des logiciels et des composants open source depuis des décennies. Et nous sommes si fiers des millions de déploiements, mais je vous invite comme moi à vous repentir et à corriger cela. Ce que nous avons construit pour nous amuser est maintenant utilisé pour les parties les plus critiques de la société », lançait-il au parterre de développeurs.
Et ce n’est pas seulement la sécurité des logiciels libres qui est l’affaire de tout le monde, selon le dirigeant, mais la sécurité elle-même. « Si vous allez visiter quelqu’un à l’hôpital, qui est responsable pour lutter contre la contamination ? Vous. Vous lavez vos mains, vous les désinfectez, tout le monde le fait. Vous ne possédez pas l’hôpital, vous n’êtes pas le docteur, l’infirmière, le patient, mais vous êtes responsable de la sécurité de l’hôpital dans le sens où vous prenez les mesures pour ne pas propager un virus ou une bactérie », argumentait-il.
« Il y a plus de 100 milliards de dollars dépensés par an dans la sécurité. Certains d’entre nous disent : “la cybersécurité est le nouveau marketing. La moitié de l’argent est gaspillée, on ne sait juste pas quelle moitié” », poursuivait-il le sourire au coin des lèvres.
Mårten MickosCEO, HackerOne
Ainsi, amasser les produits matériels et logiciels pour bâtir une forteresse ne serait pas la solution. « La réponse est beaucoup plus simple, ennuyeuse et déplaisante », affirmait-il. « La sécurité c’est quand vous partagez la défense, les bonnes pratiques, les informations, quand vous travaillez ensemble et quand vous en faites une discipline. Vous ne pouvez pas atteindre un bon niveau de sécurité, si certains des acteurs sont sécurisés et d’autres non », martelait-il.
Comme les cybermenaces sont asymétriques, un seul attaquant peut faire beaucoup de dégâts et il faudra beaucoup de monde pour l’arrêter, mais le fait de partager les informations et les actions permet de retourner le rapport de force, selon Mårten Mickos. En général, le CEO partageait tous les points d’attention ravivés par la crise Log4Shell en 2021 et 2022.
Et si la sécurité est reconnue un jour comme une responsabilité partagée « le navire va tourner. C’est un gros navire, donc il tourne lentement, mais il va tourner, et nous arriverons à un état similaire à celui que nous avons avec la sécurité aérienne ou l’hygiène hospitalière ou… la sécurité automobile, où aujourd’hui tout est en place. Mais cela fonctionne parce que nous le faisons ensemble et que nous en assumons conjointement la responsabilité », insistait-il.
Pour approfondir sur Open Source
-
Cyber Resilience Act : la Linux Foundation craint un modèle open source à deux vitesses
-
La Fondation Linux se dote d’une antenne européenne
-
IoT : la fondation Eclipse accueille Oniro, un « projet européen » proposé par Huawei
-
La Visual Studio Marketplace de Microsoft dans le viseur de la fondation Eclipse